M¨¢s vale prevenir que... perder los datos

En las ¨²ltimas semanas, la protecci¨®n de datos de car¨¢cter personal ha adquirido protagonismo a ra¨ªz de la p¨¦rdida de informaci¨®n de m¨¢s de 25 millones de ciudadanos brit¨¢nicos por parte de su Administraci¨®n tributaria y de la reciente venta en Internet de datos bancarios de muchos de ellos.

Respecto a la primera de las cuestiones, se trata de una situaci¨®n preocupante dado que se han extraviado casi la mitad de los datos de la poblaci¨®n y por la tipolog¨ªa de los datos registrados en los dispositivos digitales perdidos. Junto con la informaci¨®n de identificaci¨®n b¨¢sica, las autoridades brit¨¢nicas han extraviado datos bancarios y de la seguridad social, ya que estaban relacionados con una ayuda econ¨®mica que reciben m¨¢s de siete millones de familias con ni?os menores de 16 a?os.

La confianza en la gesti¨®n p¨²blica es un patrimonio que se pierde con facilidad y cuesta recuperar

En el caso m¨¢s reciente, la Red no s¨®lo permite la venta de datos financieros de miles de brit¨¢nicos, sino que incluso se puede conseguir, de forma gratuita, informaci¨®n bancaria, como ha demostrado el hecho de que algunos periodistas del diario The Times hayan logrado bajarse datos de m¨¢s de 30 personas.

El efecto que m¨¢s deber¨ªa preocupar a las autoridades es la p¨¦rdida de confianza de los ciudadanos respecto a c¨®mo la Administraci¨®n gestiona sus datos. La confianza es un estado subjetivo, que tiene grados y que se alimenta de hechos objetivos que hacen que aumente o disminuya. Lo mismo sucede con la sensaci¨®n de seguridad, que es subjetiva y se relaciona directamente con elementos externos que causan una mayor o menor sensaci¨®n de inseguridad.

La confianza en la gesti¨®n p¨²blica es un patrimonio que se pierde con mucha facilidad y que cuesta mucho recuperar. Sin duda, la p¨¦rdida de confianza afectar¨¢ a otras iniciativas que puedan depender de les administraciones p¨²blicas de las que se desconf¨ªa, por ejemplo el documento de identidad que el Gobierno brit¨¢nico quiere impulsar y que, si ya ten¨ªa voces en contra, ahora tendr¨¢ a¨²n m¨¢s dificultades de implantaci¨®n. Se pide tambi¨¦n la modificaci¨®n de la normativa en la l¨ªnea de California, donde la notificaci¨®n de una p¨¦rdida es obligatoria desde el a?o 2002.

El ciudadano est¨¢ obligado a proporcionar su informaci¨®n personal a los poderes p¨²blicos, para que ¨¦stos desarrollen sus funciones y competencias. Precisamente esta no voluntariedad a la hora de proporcionar los datos personales debe obligar a las administraciones p¨²blicas a ser especialmente protectoras de esta informaci¨®n y a generar confianza en su gesti¨®n.

La Agencia Catalana de Protecci¨®n de Datos quiere mostrar su preocupaci¨®n respecto a estos hechos, especialmente por las circunstancias que pueden haber dado lugar a esta grave situaci¨®n de desprotecci¨®n de tantas personas.

Desde la perspectiva t¨¦cnica es muy probable que hayan fallado muchas medidas de seguridad y organizativas, sin descartar la posibilidad de que ni siquiera hayan estado presentes o previstas.

En un pa¨ªs que ha sido modelo de organizaci¨®n de la seguridad y gesti¨®n de riesgos a partir de sus british standard, que despu¨¦s se han convertido de forma casi mim¨¦tica en normas ISO, es decir, adoptadas con car¨¢cter internacional como est¨¢ndares de seguridad, no parece que puedan suceder estos hechos: que uno o dos empleados p¨²blicos hayan podido extraer de las bases de datos de la hacienda p¨²blica toda la informaci¨®n extraviada que describen los medios de comunicaci¨®n; que estos funcionarios hayan tenido la posibilidad de registrar, sin medidas de seguridad adecuadas, esta informaci¨®n en dispositivos digitales tipo CD-ROM o similar, y que puedan sacar de los locales habituales de tratamiento de la informaci¨®n dichos dispositivos mediante un simple sistema de mensajer¨ªa externa, mientras eran trasladados de un departamento a otro.

Seg¨²n la prensa, ¨¦stos no eran los primeros incidentes de seguridad con p¨¦rdida de datos personales protagonizados por la Administraci¨®n tributaria brit¨¢nica, ya que recientemente tambi¨¦n se hab¨ªa perdido un ordenador port¨¢til con datos de 400 ciudadanos y otro CD-ROM con datos de unas 15.000 personas. ?stos eran s¨ªntomas claros de que algo no deb¨ªa de estar funcionando en los mecanismos de gesti¨®n y protecci¨®n de la informaci¨®n.

No basta con dise?ar procedimientos de seguridad e implantarlos; hay que verificar de forma peri¨®dica que cumplan su funci¨®n, y muy especialmente, como en este caso, cuando se detectan incidentes de seguridad. Aqu¨ª es donde la auditor¨ªa de sistemas de informaci¨®n y de seguridad debe cumplir su misi¨®n de prevenci¨®n, que permita detectar el mal funcionamiento o la falta de aplicaci¨®n de los controles previstos y, en su caso, determine la necesidad de a?adir nuevos controles o modificar los existentes.

El personal que trata datos de car¨¢cter personal ha de ser informado de sus obligaciones y responsabilidades, recibir formaci¨®n espec¨ªfica en la materia y disponer de los conocimientos necesarios para detectar situaciones de riesgo para los datos personales. El factor humano es un elemento cr¨ªtico en la seguridad de la informaci¨®n, tal como parece que ha quedado patente en este caso. De la misma manera, las organizaciones tienen que disponer de mecanismos de gesti¨®n de los incidentes de seguridad que permitan reaccionar de forma conveniente cuando se produzcan y que faciliten evaluar qu¨¦ problemas de seguridad tiene la organizaci¨®n.

Todos los mecanismos de seguridad aqu¨ª descritos los recoge nuestra legislaci¨®n en materia de protecci¨®n de datos de car¨¢cter personal. La misma legislaci¨®n que parece que aporte exclusivamente inconvenientes a las organizaciones, pero que tan eficaz hubiera resultado y que tantos perjuicios hubieran evitado a todas las personas implicadas en el caso brit¨¢nico, de haberse aplicado.

Esther Mitjans es directora de la Agencia Catalana de Protecci¨®n de Datos.