Más vale prevenir que... perder los datos

En las últimas semanas, la protección de datos de carácter personal ha adquirido protagonismo a raíz de la pérdida de información de más de 25 millones de ciudadanos británicos por parte de su Administración tributaria y de la reciente venta en Internet de datos bancarios de muchos de ellos.

Respecto a la primera de las cuestiones, se trata de una situación preocupante dado que se han extraviado casi la mitad de los datos de la población y por la tipología de los datos registrados en los dispositivos digitales perdidos. Junto con la información de identificación básica, las autoridades británicas han extraviado datos bancarios y de la seguridad social, ya que estaban relacionados con una ayuda económica que reciben más de siete millones de familias con niños menores de 16 años.

La confianza en la gestión pública es un patrimonio que se pierde con facilidad y cuesta recuperar

En el caso más reciente, la Red no sólo permite la venta de datos financieros de miles de británicos, sino que incluso se puede conseguir, de forma gratuita, información bancaria, como ha demostrado el hecho de que algunos periodistas del diario The Times hayan logrado bajarse datos de más de 30 personas.

El efecto que más debería preocupar a las autoridades es la pérdida de confianza de los ciudadanos respecto a cómo la Administración gestiona sus datos. La confianza es un estado subjetivo, que tiene grados y que se alimenta de hechos objetivos que hacen que aumente o disminuya. Lo mismo sucede con la sensación de seguridad, que es subjetiva y se relaciona directamente con elementos externos que causan una mayor o menor sensación de inseguridad.

La confianza en la gestión pública es un patrimonio que se pierde con mucha facilidad y que cuesta mucho recuperar. Sin duda, la pérdida de confianza afectará a otras iniciativas que puedan depender de les administraciones públicas de las que se desconfía, por ejemplo el documento de identidad que el Gobierno británico quiere impulsar y que, si ya tenía voces en contra, ahora tendrá aún más dificultades de implantación. Se pide también la modificación de la normativa en la línea de California, donde la notificación de una pérdida es obligatoria desde el año 2002.

El ciudadano está obligado a proporcionar su información personal a los poderes públicos, para que éstos desarrollen sus funciones y competencias. Precisamente esta no voluntariedad a la hora de proporcionar los datos personales debe obligar a las administraciones públicas a ser especialmente protectoras de esta información y a generar confianza en su gestión.

La Agencia Catalana de Protección de Datos quiere mostrar su preocupación respecto a estos hechos, especialmente por las circunstancias que pueden haber dado lugar a esta grave situación de desprotección de tantas personas.

Desde la perspectiva técnica es muy probable que hayan fallado muchas medidas de seguridad y organizativas, sin descartar la posibilidad de que ni siquiera hayan estado presentes o previstas.

En un país que ha sido modelo de organización de la seguridad y gestión de riesgos a partir de sus british standard, que después se han convertido de forma casi mimética en normas ISO, es decir, adoptadas con carácter internacional como estándares de seguridad, no parece que puedan suceder estos hechos: que uno o dos empleados públicos hayan podido extraer de las bases de datos de la hacienda pública toda la información extraviada que describen los medios de comunicación; que estos funcionarios hayan tenido la posibilidad de registrar, sin medidas de seguridad adecuadas, esta información en dispositivos digitales tipo CD-ROM o similar, y que puedan sacar de los locales habituales de tratamiento de la información dichos dispositivos mediante un simple sistema de mensajería externa, mientras eran trasladados de un departamento a otro.

Según la prensa, éstos no eran los primeros incidentes de seguridad con pérdida de datos personales protagonizados por la Administración tributaria británica, ya que recientemente también se había perdido un ordenador portátil con datos de 400 ciudadanos y otro CD-ROM con datos de unas 15.000 personas. Éstos eran síntomas claros de que algo no debía de estar funcionando en los mecanismos de gestión y protección de la información.

No basta con diseñar procedimientos de seguridad e implantarlos; hay que verificar de forma periódica que cumplan su función, y muy especialmente, como en este caso, cuando se detectan incidentes de seguridad. Aquí es donde la auditoría de sistemas de información y de seguridad debe cumplir su misión de prevención, que permita detectar el mal funcionamiento o la falta de aplicación de los controles previstos y, en su caso, determine la necesidad de añadir nuevos controles o modificar los existentes.

El personal que trata datos de carácter personal ha de ser informado de sus obligaciones y responsabilidades, recibir formación específica en la materia y disponer de los conocimientos necesarios para detectar situaciones de riesgo para los datos personales. El factor humano es un elemento crítico en la seguridad de la información, tal como parece que ha quedado patente en este caso. De la misma manera, las organizaciones tienen que disponer de mecanismos de gestión de los incidentes de seguridad que permitan reaccionar de forma conveniente cuando se produzcan y que faciliten evaluar qué problemas de seguridad tiene la organización.

Todos los mecanismos de seguridad aquí descritos los recoge nuestra legislación en materia de protección de datos de carácter personal. La misma legislación que parece que aporte exclusivamente inconvenientes a las organizaciones, pero que tan eficaz hubiera resultado y que tantos perjuicios hubieran evitado a todas las personas implicadas en el caso británico, de haberse aplicado.

Esther Mitjans es directora de la Agencia Catalana de Protección de Datos.