Durante años, cualquier persona con un traje y una corbata podía adentrarse por los pasillos de un
Ayuntamiento y no pasaba nada. Incluso si éste, osaba a abrir un armario o recoger unos papeles de una mesa, era probable
que no fuera recriminado.
Los tiempos han cambiado y, la
conciencia en torno a la protección de la información, ha aumentado en las entidades públicas españolas. Vengo aquí a intentar acercaros una
realidad, con la que me topo en mi labor
diaria, como abogado y consultor
de seguridad de la información cuando
acudo a un Ayuntamiento.
Al plantearnos una implantación o auditoría para asegurar la adaptación
de la Ley de Protección de Datos 15/1999, lo primero que hacemos es planificar la misma en una reunión de lanzamiento del proyecto con los encargados a nivel interno de la seguridad de la información. Esta
labor queda en manos del departamento TIC en innumerables ocasiones. El hecho
que la Ley contenga ingentes aspectos técnicos y que la génesis de la misma fue
proteger la información automatizada y no en papel, ha hecho que este encargo
de la privacidad, recaiga en ellos.
La segunda ocasión
que acudimos a la sede del Ayuntamiento, es con el propósito de realizar una inspección física a las sedes de la
institución pública con un doble objetivo:
A) entrevistarnos con el
personal de la institución acerca de cómo realizan el tratamiento de datos
de los ciudadanos.
B) analizar la distribución de los departamentos, armarios, sala de
servidores informáticos (CPD), protección exterior de la instalación, tipo seguridad
en las puertas (lector biométrico, llave, tarjeta, etc.), comunicaciones y/o accesos
de terceros a datos, etc. Ello lo hacemos recorriendo el interior de las
instalaciones acompañados por personal interno con acceso a todos los rincones
del Ayuntamiento.
A veces conlleva recorrer
un municipio de un extremo a otro, puesto que no es habitual encontrar las sedes
en el mismo edificio (servicios sociales, el archivo municipal, la
biblioteca, etc.). Puede suponer un agradable paseo por pueblos realmente hermosos
y con encanto, otras veces en cambio, el
esquivar coches, personas y ruidos por populosas ciudades.
Una vez realizadas las entrevistas con los respectivos
departamentos, vistas las sedes y conseguido el material necesario para
poder realizar el informe de auditoría,
(formularios, contratos con terceros entre el Ayuntamiento y empresas, etc), marchamos a la oficina.
Procesamos toda la información para elaborar la documentación
obligatoria. En el caso de una actuación de auditoría, realizamos un informe y plasmamos los incumplimientos que según la
Ley de Protección de Datos y el Reglamento de desarrollo está incurriendo el
Ayuntamiento en cuestión. Un trabajo que conlleva escrutar precepto a precepto
cada texto normativo y verter en dicho informe las medidas correctoras y recomendaciones personalizadas y pertinentes para cumplir con la normativa española y por
ende europea de privacidad.
Pasaremos a convocar una nueva
reunión de presentación del informe. Habitualmente es una reunión a nivel técnico, en la que pueden
intervenir los encargados del departamento de nuevas tecnologías, RRHH, servicios
sociales, etc. Pero en alguna ocasión,
en poblaciones de reducida dimensión, me he llevado la grata sorpresa que Alcaldes y Regidores muy implicados y
concienciados han deseado participar en
las mismas.
No sirve de nada una auditoria o
implementación de un sistema de protección de datos e información si los resultados no se difunden entre todos
los usuarios (ojo!, incluidos los puestos directivos, gerencia, alcaldía y no
sólo el personal de base). Dos vías son fundamentales para conseguirlo:
A) Formar y
concienciar a los usuarios del sistema sobre cómo deben tratar los
datos personales. Por ejemplo, sobre la forma segura de usar los dispositivos
que el Ayuntamiento pone a su disposición y de los dispositivos de los usuarios
(BYOD)
B)
Difundir la política de
seguridad de la información aprobada por la institución para que sea leída, comprendida y asumida por todos los usuarios (manual de funciones y
obligaciones del personal)
Una vez detectados los incumplimientos, comunicados los
resultados y medidas correctoras al Ayuntamiento,
estos deberán implementar. Debiendo
desde nuestro puesto de consultores jurídicos atender las consultas en un
proceso que, por momentos, se eterniza.
Depende de nosotros, como directores del proyecto, ser resolutivos e impulsar la conclusión del mismo para que nuestro
trabajo adquiera valor.
Al comprobar al cabo de unos meses que en el Ayuntamiento
ya no es posible entrar sin preguntar
y apropiarnos de los documentos que alguien se dejó olvidados en la bandeja de
entrada de una fotocopiadora…efectivamente pensaremos
que el trabajo realizado comienza a dar sus frutos.
Alberto Cuesta
Abogado en URECA-Legal