Archivado en la categoría (Protección de datos) por Elena
Publicado el 07-05-2010

Los que nos movemos en el mundo tecnológico y hace años aterrizamos en la privacidad y la protección de datos, echábamos de menos algún tipo de certificación oficial. En cierta manera, una ayuda para justificar que tu trabajo se basaba en el trabajo bien hecho, en las buenas prácticas heredadas de otras certificaciones, de la experiencia aprendida tras rodearte de grandes profesionales.

Hace un año empezó un movimiento nacional… bueno, dos. Pese a que al principio parecía que se iba a crear una organización nacional para acreditar a los profesionales de la Protección de Datos, finalmente fueron dos las creadas.

Las dos organizaciones de las que hablamos son:

  • Data Privacity Institute (DPI) dentro del ISMS Forum Spain. Cómo podemos leer en su carta de presentación:

Creado en julio de 2009 con el objetivo de unir a todas las personas y organizaciones que tienen interés y responsabilidades en la privacidad y la protección de datos personales, promoviendo la formación y excelencia de sus asociados y facilitándoles cauces de interlocución con las administraciones y autoridades de control. El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles.

  • Asociación Profesional Española de Privacidad (APEP). Cómo podemos ver en su página web:

Constituida en junio de 2009 para integrar a profesionales de la protección de datos personales y de la privacidad para elaborar códigos éticos y certificaciones de competencias, fomentar el conocimiento y defender los intereses profesionales de sus asociados, velando por el interés general de la profesión de expertos en privacidad, y en especial, para el reconocimiento público de la misma.

Ambas organizaciones nacieron al únisono, así como sus correspondientes certificaciones:

  • El DPI ha puesto a disposición de los profesionales la certificación denominada Certified Data Privacy Professional (CDPP).
  • Por su parte, la APEP ofrece la APEP Certified Privacy (ACP) con la posibilidad de dos especializaciones:
    • Auditor (A)
    • Consultant & Security Manager (CSM)

Para aclarar un poco ambas certificaciones vamos a intentar hacer una tabla resumen de las características más destacadas de ambas:

Respecto al Grandfathering recordaremos que se trata del proceso de conseguir la certificación tras demostrar una cierta experiencia profesional en el ámbito de la Privacidad y la Protección de Datos.

Para poder tramitar el Grandfathering con el DPI será necesario cumplir con los siguientes requisitos:

  • Estar en posesión de un título universitario oficial de Licenciado, Ingeniero o Diplomado
  • Estar en posesión de un título de Master universitario o postgrado por más de 300 horas, en Derecho, Seguridad de la Información, Auditoría, o de Sistemas de Información
  • Haber publicado al menos dos artículos en aspectos relacionados
  • Haber realizado formación como formador en temáticas relacionadas
  • Estos dos últimos requisitos pueden ser sustituidas acreditando alguna de las siguientes certificaciones en vigor: CIPP, CISA, CISM, CISPP o Lead Auditor ISO 2700.

Respecto a la APEP, estos son los requisitos para el proceso de apadrinamiento:

  • Probar un mínimo de 40 proyectos relacionados con la PD, o
  • Acreditar una experiencia mínima de 5 años en la materia
  • Es posible convalidar 8 proyectos o 1 año (máximo de 16 proyectos o 2 años):
    • Estar en posesión de un Máster en la materia
    • Certificaciones: CISA, CISM, IAPP, etc

Para que este post no se alargue en demasía, en breve publicaremos otro para poder comparar los dos temarios que recientemente se han publicado en ambas organizaciones.

A partir de aquí, veremos que siglas son las que más proliferan dentro de unos meses…

Más información:

(4) Comments    Read More   
Archivado en la categoría (Privacidad, Protección de datos) por Elena
Publicado el 10-04-2010

Cuando facebook empezó a sonar dentro una pequeña comunidad, en aquellos entonces únicamente estaba en inglés, varios conocidos me enviaron una solicitud para que me apuntara a eso nuevo del facebook a mi cuenta de correo entonces@cuenta

La semana pasada recuperé la citada cuenta de correo y pensé en crearme una cuenta en facebook asociada a ésta.

Para mi sorpresa, ya tenía en mi perfil todo preparado para poder confirmar la relación de amistad con todas aquellas personas que habían solicitado ser mis «amigos» hace años. Por lo tanto:

1. Facebook tiene guardada toda dirección de correo a la que cualquier persona haya enviado una solicitud a través de Buscar a una persona

2. Facebook trata cuentas de correo de personas que no han solicitado el alta en la red social


Entro en Configuración de privacidad – Información de contacto e indico

que mi dirección de correo entonces@cuenta sólo la puedo ver yo.

Para mi confirmación, facebook me indica: Sólo yo puedo ver este contenido.

Verifico que en mi perfil no aparece la dirección de correo electrónico.

Después, realizo unas cuantas búsquedas. El facebook está para cotillear, no? ;)

Y igual que te buscas en Google, en facebook no vas a ser diferente. Término de búsqueda: entonces@cuenta. Recuerdo mi acción previa: indicar que la dirección de correo sólo sea visible para mi.

Y facebook encuentra un perfil que responde a esos términos de búsqueda, imagináis cual?

3. Facebook no respeta el nivel de privacidad indicado por el usuario

No todos tenemos el mismo concepto de «visibilidad» que facebook.

(0) Comments    Read More   
Archivado en la categoría (Protección de datos) por Elena
Publicado el 09-02-2010

Anoche, un poco antes de las 20h, empecé un pequeño proceso de investigación sobre el servicio Cercador d’expertes (buscador de expertas). Un directorio del Institut Català de les Dones (ICD, Instituto Catalán de las Mujeres) para que los medios de comunicación se puedan poner en contacto con mujeres expertas en una determinada materia.

Mi primera búsqueda fue en la APDCAT. Al tratarse de un organismo público de Catalunya, las competencias de los ficheros de protección de datos son de la agencia autonómica.
Diferentes búsquedas con diferentes valores en los diversos campos no dan ningún resultado exitoso. Así que envié un correo al ICD a través de su formulario de contacto. Recuerda, todo esto fuera de su horario laboral.

Pues bien, esta mañana a las 9.15, recibo una llamada del ICD para aclararme la situación y darme todos los datos necesarios para saber de la creación del necesario fichero.
Resumiendo: http://www.gencat.cat/diari/5256/08284057.htm

Impresionante. Yo aún sin tomarme el café y en el ICD ya había funcionado correctamente los procedimientos necesarios para que un usuario tuviera respuesta sobre una consulta en Protección de Datos.

Y es que un personal bien formado en la materia que tratamos hace que los procedimientos funcionen: que un correo, una consulta a través de un formulario, sea recibido o traspasado a la persona que debe realizar una determinada acción o a la que tenga el conocimiento necesario para resolver la consulta, depende del buen funcionamiento de la organización.

Es muy fácil que la organización tenga un buen documento de seguridad, unos procedimientos perfectamente redactados. Pero no es tan fácil que toda esa documentación llegue a todo el personal.

Lo triste de todo, que me sorprenda justamente que funcione bien. ¿No debería ser lo más normal?. Y un gustazo, una llamada para que no quede dudas de ningún concepto :)

Haciendo hincapié a mi búsqueda en la APDCat, he vuelto a buscar según los campos: DOGC 5256, obteniendo un resultado de 1021 resultados… Y teniendo en cuenta que una búsqueda más específica tampoco resultó, he realizado una consulta directamente a la APDCat para conocer como se debe realizar la esperada búsqueda.

(0) Comments    Read More   
Archivado en la categoría (Protección de datos) por Elena
Publicado el 02-02-2010

La certificación CDPP promovida por el DPI ya tiene fecha para el primer examen, que se celebrará el sábado 19 de junio. El segundo examen tendrá lugar el 18 de diciembre.

La prueba teórica vendrá definida por:

•150 preguntas con una sola respuesta válida de 4 posibles

•Un caso práctico en el que se harán 20 preguntas con opción Verdadero/Falso.

•Se pasa con un 75% de respuestas correctas.

•No hay puntos negativos.

Será necesario la acreditación de experiéncia dentro de la Privacidad y la Protección de Datos.

Próximamente se publicará el temario y más detalles necesarios para su preparación.

Más información: https://www.ismsforum.es/img/a8/des98_CDPP_-_Certified_Data_Privacy_Professional.pdf

(0) Comments    Read More