La Agencia Estatal de Protección de Datos (AEPD), es la autoridad de control independiente que vela por el cumplimiento de la
normativa y garantiza y tutela el derecho fundamental
a la protección de datos de carácter personal.
Los empleados públicos de la mayoría de las unidades de las
Administraciones Públicas manejan diariamente ficheros, documentos, instancias,
tramitaciones, etc. con datos personales de los ciudadanos. En este sentido, no
hay un grado de conocimiento exhaustivo de las particularidades que entraña el
manejo de este tipo de información. Por otra parte, la normativa que desarrolla
su correcta aplicación es muy prolija y sujeta a continua modificación. Además, la complicación inicial se agrava,
pues los sujetos encargados de fiscalizar todo el tema de manejo de datos personales
en las administraciones públicas son pocos y con muchas competencias de gestión.
En concreto, sólo son alrededor de treinta las personas las que trabajan en la Agencia Estatal de Protección
de Datos y que se encargan del control de datos de todas las Administraciones Públicas españolas y también las empresas privadas.
Para solventar estas dificultades, la Sección de Inspección de Datos de la Agencia ha puesto a disposición
de los encargados de los ficheros y de los que realizan tratamiento
automatizado de información, una herramienta de autoevaluación. Esta
herramienta facilita el cumplimiento de la normativa vigente en la materia tanto
a las unidades de la Administración Pública responsables de ficheros de datos
de carácter personal como a las que realizan labores de encargados de
tratamiento sobre datos de carácter personal. Del mismo modo, la herramienta
comprueba el cumplimiento de la normativa legal vigente en la materia.
La herramienta se denomina EVALÚA. A través de ella, se puede realizar un
procedimiento de diagnóstico de la
información de acceso fácil y gratuito, basado en un autotest de preguntas con
respuesta múltiple. Una vez rellenado, se ofrece al usuario un informe final,
con indicaciones sobre las deficiencias detectadas y los recursos orientados
para seguir lo dispuesto en la ley. Las indicaciones se realizan en los dos
ámbitos; cumplimiento de la normativa y
seguridad de los datos. Posteriormente, se señalan las medidas correctoras
correspondientes que pudieran adoptarse.
EVALUA está preparada para poder dejar la tarea de forma temporal si no
se dispone del tiempo suficiente, o ha de completarse el conocimiento sobre el
fichero que se está trabajando. Así, la herramienta permite retomar el estudio
de cualquiera de las dos fases, facilitando al usuario un código que será
reintroducido en el sistema de forma posterior continuando el test en el punto que se hubiera abandonado. Por otra parte, cabe destacar el carácter anónimo de todo el
procedimiento seguido en el test de autoevaluación EVALUA, lo que contribuye a
asegurar unos resultados que reflejen, sin distorsiones, la situación real de
la organización objeto de estudio.
Los objetivos específicos que se quieren conseguir, además del cumplimiento de los propios de la AEPD, con la implantación de EVALUA son los siguientes:
- Promover una cultura de conocimiento en la materia en las administraciones públicas españolas y contribuir a su difusión e integración.
- Facilitar, a los responsables de la protección de datos de carácter personal y a los que realizan su tratamiento automatizado, la adopción de las obligaciones recogidas en la legislación vigente.
- Comprobar el uso y gestión de la información en las instituciones públicas.
- Recomendar, en función de los resultados obtenidos, mecanismos específicos para cada organización que les ayuden a cumplir con lo requerimientos legales en la materia y se ajusten a su estructura interna.
Centrando la atención en el mecanismo de EVALUA, éste es una herramienta
sencilla de test que pregunta sobre cuestiones relacionadas con los datos de
carácter personal recabados y la forma, los fines y los procedimientos
empleados en esa recopilación. Está organizado en base a una encuesta sucesiva
de respuestas múltiples, que ayuden al operador a fiscalizar la actuación del
ente. A su vez, EVALUA cuenta con un
sistema de autoayuda que pone en contexto toda la información que demande el
usuario cuando la está utilizando. Es una de las pocas iniciativas que encontramos en España como herramienta evaluativa.
La autoevaluación de realiza a dos niveles:
1) Revisión del cumplimiento normativo: dentro de este nivel, el procedimiento pasa por seis etapas de evaluación: en la primera, se pregunta al usuario de la aplicación sobre el registro de ficheros a su cargo o bajo su gestión, como obligación legal que debe cumplir. En la segunda etapa, se debe responder sobre aspectos relacionados con la recogida de datos para cumplimentar los ficheros y el consentimiento otorgado en la recogida. En la tercera, se pregunta sobre la calidad de los datos que se encuentra en esos archivos, en relación con el ámbito y las finalidades de los mismos. Éstos debe ser siempre adecuados, pertinentes y no excesivos. En la cuarta etapa, se responde sobre el grado de cumplimiento de la organización en lo referente al respeto de los derechos personalísimos recogidos en la Ley Orgánica de Protección de Datos. En la quinta etapa, se relaciona a la organización con terceros y se indaga sobre la comunicación que hace de los datos que posee, el acceso a los mismos, su transferencia y el nivel de protección que tienen (pudiendo ser éste mínimo, medio y máximo, dependiendo de su naturaleza).
La autoevaluación de realiza a dos niveles:
1) Revisión del cumplimiento normativo: dentro de este nivel, el procedimiento pasa por seis etapas de evaluación: en la primera, se pregunta al usuario de la aplicación sobre el registro de ficheros a su cargo o bajo su gestión, como obligación legal que debe cumplir. En la segunda etapa, se debe responder sobre aspectos relacionados con la recogida de datos para cumplimentar los ficheros y el consentimiento otorgado en la recogida. En la tercera, se pregunta sobre la calidad de los datos que se encuentra en esos archivos, en relación con el ámbito y las finalidades de los mismos. Éstos debe ser siempre adecuados, pertinentes y no excesivos. En la cuarta etapa, se responde sobre el grado de cumplimiento de la organización en lo referente al respeto de los derechos personalísimos recogidos en la Ley Orgánica de Protección de Datos. En la quinta etapa, se relaciona a la organización con terceros y se indaga sobre la comunicación que hace de los datos que posee, el acceso a los mismos, su transferencia y el nivel de protección que tienen (pudiendo ser éste mínimo, medio y máximo, dependiendo de su naturaleza).
2) Revisión del cumplimiento de las medidas de seguridad: Las medidas de seguridad en materia de protección de datos pueden definirse como aquellas que preservan su confidencialidad, integridad y disponibilidad, a través de un conjunto adecuado de controles políticos, prácticos, procedimentales, estructurales y tecnológicos. En este segundo nivel, EVALUA realiza preguntas técnicas y organizativas necesarias para medir hasta qué punto los entes garantizan la seguridad de los datos que gestionan. Asimismo, pregunta sobre el sistema de tratamiento de datos que se está implementando para ver de qué modo se organiza la información que se posee.
No hay comentarios:
Publicar un comentario