Un poco de historia reciente
Hace años, el Estado concibió la famosa LOPD 15/99, después de arduos trabajos. Se trata de una norma curiosa que ya había tenido precusoras, como la LOTARD.
El caso es que el derecho a la protección de datos ya estaba recogido en la Constitución Española en su artículo 18.4 que dice así: «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
Es una referencia llamativa para un tiempo en el que lo que existían era fichas perforadas que se introducían por ranuras de enormes computadores. La Hacienda pública y grendes empresas como IBM los tenían. Nadie más Se puede decir que las personas que añadieron esta parte del texto, incluso aunque quizá fuera un calco de otra constitución, tuvieron un momento de terrible lucidez y anticipación.
Para no hacer demasiado denso esto, voy a renunciar a comentar la antigua LOTARD, y me desplazaré a no hace tanto. Al momento en que la idea de que esto es un reto basado en la anticipación comienza a ser palpable.
En general, podemos decir que tanto la antigua LOTARD como la LOPD dedicaban un espacio muy indirecto a la cuestión de que la protección de datos exige tratar de predecir qué sucede si se exponen. O si una amenaza se cumple.
De la LOPD se derivó el RD 1720, que era el reglamento que desarrollaba las acciones de la ley que ya establecía directrices más claras. En realidad, el mayor esfuerzo de anticipación en el RD 1720 parecía encaminado a que las cesiones de datos se autorizaran de forma expresa antes del tratamiento. Poco más.
¿Seguridad proactiva?
La seguridad proactiva se podía deducir de alguna forma, pero lo explícito era escaso.
La seguridad proactiva supone, pero eso se aplicaba poco, en pensar antes incluso del diseño en aquellas acciones que pueden implicar una vulnerabilidad del sistema. Anticiparse al mal. por así decirlo.
La complejidad del tráfico de datos se fue haciendo mayor, los casos de abuso favorecidos por la falta de regulación eran y son frecuentes, y quizá, sólo quizá, los propios legisladores comenzaron a caer en trampas, a recibir llamadas molestas, y a ver las imágenes de sus hijos circular por toda la red.
Aquí, y ligado con la constación de que los problemas de accesibilidad y calidad de la información crecían, lo legisladores comenzaron a pensar.
El ciudadano, como consumidor, cede con frecuencia sus datos. Y con frecuencia a cambio de la posibilidad de acceder a otros datos. Sólo la posibilidad, curiosamente. A veces parece un extraño intercambio de cromos en el cromo que entregas es difícilmente valorable respecto al que recibes. Todo es muy subjetivo.
Y precisamente, uno de los grandes retos de la SI lo supone el cambio mental. En la vida digital tendemos a pensar que el mundo intangible es tan real como el mundo tangible. Es una sensación extraña. Pero ¿lo pensamos? Me temo que sólo a medias. Por alguna razón, por real que nos parezca la emoción de Fornite o la conexión al canal de series, la experiencia debe tener un matiz diferente en nuestras mentes.
Deduzco la diferencia por las dificultades para que se perciba como amenazante un intercambio de datos sin pensar, ese darle al “click” que hacemos sin tener claro dónde nos lleva. Eso es raro que nos suceda si, por ejemplo, vemos que nos metemos en un mal barrio o que compramos algo aparenta pasado de fecha.
Ciudadano objeto activo de sus derechos
Vista la relación sistémica entre el ciudadano como sujeto de derechos, el ciudadano como agente que mueve datos, las empresas pequeñas que los necesitan, y las grandes empresas que acaparan datos, la UE decidió hackear el mundo.
A principios de este siglo, la UE se dio cuenta de que estaba en desventaja. Con sus alrededor de 500 millones de habitantes, era presa deseable para las grandes compañías norteamericanas. Mucha gente, y con dinero.
Algunas empresas, como… Bueno, como algunas de esas, no sólo maniobraban tratando de esquivar impuestos, sino que la absorción de datos, y su manejo, podían servir para hacerse con el control de una economía subsidiaria de los datos. Es más, incluso se podrían crear tendencias para manipular políticamente los propios estados.
Todo un salto de nivel que hacía la transmisión de datos algo tan crítico como la red electrica o la de carreteras. Su valor, por intangible, ya no era el de un montón de humo, como pareció por un momento tras las caidas de Lycos, Terra, y otros.
Ahora, lo inmaterial tenía un valor material real.
Es entonces cuando se fue consciente, de alguna forma que desconozco, de que la seguridad de datos era un ecosistema.
A vueltas con el ecosistema de seguridad
En un ecosistema, los organismos que en él interactúan intercambian energía con el entorno. Comiéndose unos a otros, en buena medida. En nuestro caso, mas que comerse, entran en simbiosis o se parasitan. Pero claro, si uno de los habitantes es sustento de otro, y desaparece, ¿qué sucede con los que intercambiaban energía con el desaparecido? Que se veían perjudicados, claro.
Así, si un elemento del intercambio de datos, por ejemplo, los ciudadanos en cuanto a individuos, queda bajo el control de alguna entidad que les gestiona esos datos ¿no se podrían ver perjudicados otros “organismos”, como las empresas? ¿O como los gobernos? La pregunta era dura.
La verdad es que sí. Puede suceder. Y al revés. Si algo atenta contra la fuente que alimenta de datos las empresas, los perjudicados son los individuos. Es lo que sucede en los ecosistemas. Si se reduce la población de insectos, lo hace la aves, y con las aves y los insectos, las de plantas, y con ellas los que comían esas aves o esas plantas.
Igual sucede con los estados, o las ciudades, o las autonomías. Y en una empresa, ocurre con las entidades que son los trabajadores, los departamentos, los sistemas IT y las infraestructuras. debilita uno, y debilitas al sistema.
Era una reflexión necesaria ¿qué es peor para Apple, que alguien les meta una App tóxica o que uno de sus operarios se deje un prototipo en un bar? ¿Qué es peor, que se sufra un ataque DDs o que falle el aire acondicionado del servidor?
En realidad, no hay que elegir. Cualquiera de las cosas debe evitarse.
La UE es una vieja astuta
Y ahora viene lo bueno. De la compresión de la seguridad de datos como ecosistema provino la pregunta de ¿cómo vamos a hacer para controlar esto?
Y la respuesta fue un clásico de la administración pública: obliguemos a las empresas a ser policías. Ejem.
En realidad era una idea vieja. Eso de que las empresas recauden el IVA o equivalente tiene un sentido. Los estados obtienen gratis la infraestructura recaudatoria, el dinero llega, y hay miles de falsos funcionarios alimentando una máquina que nadie sabe muy bien cómo funciona, pero que tiene que funcionar.
¿Y si se pudiera hacer igual con la protección de datos?
Veámoslo. Se aprueba el UE 679 de 2016 de la Comisión y del Consejo. Es beneficioso para los individuos, que pueden defenderse legalmente del robo de datos. Pueden detectar los abusos y denunciarlos. Y ser lo ojos del estado donde el estado, la UE en este caso, no llega.
Pero es mejor todavía, ahora las empresas comienzan a cumplir las directrices y… Sorpresa. Si alguien quiere venderte algo, y pasa por nuestras reglas, habrá cosas que no pueda hacer, y cosas que tenga que hacer.
De pronto, para llegar a esos 500 millones de consumidores hay que cumplir ciertas reglas. Y si no las cumples, lo tienes complicado. Puede que una empresa piense que no importa, que no tiene que vender a la EU sus productos. Con sus clienets locales les vale. Las hay, sí. Algunas empresas se negaron a cumplir con el RGPD y dejaron de dar acceso a servidores europeos.
Pero claro, ahora estas empresas no sólo ven limitado el acceso a consumidores que les interesan, sino que pasan por ser poco seguras, incluso en su país. Un deterioso de imagen y quizá un reto.
El RGPD ha supuesto una forma de a) poner una especie de aduana en la UE; b) convertir a miles de empresitas en pequeños nodos de control de datos, en fronteritas colaboradoras.
Si todas las webs tienen que ser https, y si todas las webs están obligadas a declarar sus cookies ¿queda espacio para el comercio? Sí, la verdad es que sí.
Casualidad o no
Me resulta curioso que algunos análisis hayan hablado de “efectos inesperados”, como ha hecho MIA International Business School entre muchos otros. Reconozco que es la primera que me ha salido cuando he puesto esta idea en el buscador amable de gran predicamento. Sí,ese.
Mi interpretación es otra. Pienso que ha sido a posta. La UE ha logrado un efecto arancelario sin tener que meterse en una guerra de aranceles. Está obligando a sus competidores, en plan bloque, a ponerse a bailar a su ritmo.
Puede que no todos quieran seguirlo, pero conque lo sigan algunos, muchos otros irán detrás.
Vale. ¿Y ahora que hacemos?
Cumpla la ley, proteja sus datos
Tenemos una pequeña empresa ¿nos vamos a meter en este lío?
Sí, lo haremos. Lo haremos, o conviene hacerlo, porque eso mejorará la gestión de la empresa haciéndonos conscientes del valor de nuestros activos de información.
Lo haremos porque la ley nos obliga. Por pocos datos de personales que tengamos, alguno tenemos. El empresario que entiende que esos datos no son suyos, será más permeable a entender que no debe ceder los suyos propios a la ligera, o los de sus hijos.
Además, está el beneficio de proteger la empresa, y no sólo de las multas. También están los indeseables que hay que evitar. La información es un activo, no lo olvidemos.
Por eso, recomiendo seguir el plan, informarse en la AEPD y guiarse por sus plantillas. Nombrar un DPD, delegado de Protección de Datos. Establecer un análisis de impacto y revisar las garantías legales.
Pensemos que esto afecta también la imagen de empresa. ¿Qué tipo de cliente queremos en realidad, además del cliente que pague?
El cliente que es capaz de ver en nosotros como un punto positivo que nos hemos ocupado de la seguridad de sus datos.
Yo prefiero tratar con ese cliente, la verdad.
