Primero fue Hillary Clinton, a la que afectó significativamente en campaña electoral el haber enviado mensajes institucionales a través de cuentas de Gmail. Después Donald Trump que creó una oficina paralela en una instalación puramente privada y no devolvió la documentación de inteligencia al final de su mandato. Y ahora, parece que, debido a la senectud, el presidente de los Estados Unidos tampoco recuerda haber sacado documentos de un entorno seguro y haberlos olvidado en determinados despachos durante su vicepresidencia. El único elemento diferencial que probablemente presentan estas noticias con la realidad española consiste en que, en Estados Unidos, cuando estos hechos son conocidos la fiscalía inicia actuaciones que podrían acabar en un procedimiento en el que se exija responsabilidad penal al político o al directivo.
Pero la cuestión de fondo es la misma y obliga a formular una pregunta particularmente incómoda: ¿es que quien ocupa la posición de consejero/a delegado/a, una concejalía, una alcaldía, una consejería o presidencia autonómica, o la presidencia del Gobierno, no son usuarios de sistemas de información?; ¿poseen estas personas algún derecho que se nos escape al resto de la humanidad a manejar la información a su libre albedrío y sin garantías de seguridad? La respuesta es absolutamente obvia. Bajo cualquier punto de vista jurídico, material, organizativo, o técnico, no sólo son usuarios de un sistema de información, sino que son puntos particularmente críticos desde el punto de vista de las amenazas y de las vulnerabilidades.
Y, sin embargo, no es demasiado aventurado afirmar que con carácter bastante usual en nuestras administraciones, y quien sabe hasta qué punto en el sector privado, al jefe no se le obliga a ir a un curso de formación en materia de privacidad, seguridad y confidencialidad. Apostaría, -aunque juro que nada me apetecería más que perder lo apostado-, que las personas delegadas de protección de datos, y responsables de seguridad en muy pocos casos podrán exhibir en nuestro país un documento firmado en el que un alto responsable en la gestión o en la política de las organizaciones haya asumido que conoce, respeta y aplica las obligaciones de seguridad que emanan del Reglamento General de Protección de Datos, del Esquema Nacional de Seguridad y, permítanme decirlo con crudeza, del más elemental sentido común.
Por ello, porque tal vez sería conveniente no tener razón, hay que reivindicar el papel que, en protección de datos y seguridad debe atribuirse a la formación. El estado óptimo sería aquel en que tras el nombramiento y toma de posesión el alto responsable asiste a un acto formativo destinado a inculcar los principios básicos de actuación de la organización desde distintas perspectivas. No estoy proponiendo que estos responsables vayan a clase, no consiste nuestra apuesta en convertir la seguridad en una pesada carga que reste operatividad y dedicación a estas personas. Se trata de encontrar un modelo de formación enfocado a la particular posición de estos directivos. Y a nuestro juicio, existen varios componentes esenciales.
En primer lugar, vaya por delante, que nada más ineficiente que diseñar cursos de derecho para estos perfiles. Y desde luego, esta recomendación no se debe a cuestionar su capacidad de atención y aprendizaje. Sencillamente, salvo en puestos muy concretos, no es su rol en la organización tener un conocimiento profundo del marco jurídico. El primer componente esencial consiste en proporcionar al directivo o a la directiva una visión estratégica que ponga en valor como los componentes de seguridad y protección de datos resultan esenciales para el funcionamiento ordinario de su organización, constituyen un pilar crucial para la transformación digital, y estarán siempre presentes en cualquier proceso de innovación, cambio, o emprendimiento. Se trata por tanto de poner en su justo contexto en términos de valor cuantitativo y cualitativo estos dos elementos cruciales para garantizar la seguridad de la información. En segundo lugar, estos las personas con responsabilidades de dirección deberían recibir exactamente la misma formación e información que cualquier usuario de los sistemas de información a los que se encuentren vinculados.
Existe un tercer componente que ha sido puesto de manifiesto por los ejemplos de los políticos norteamericanos a los que hacíamos alusión. Si en los dos primeros pilares la interacción y el diálogo con los usuarios es fundamental, en el tercero que voy a proponer resulta ineludible. A diferencia de los colaboradores o trabajadores de una organización que cumple con sus tareas en el horario establecido y a los que la legislación reconoce el derecho a la desconexión digital, el personal de alta dirección suele mantener una dedicación intensa a la organización. Por otra parte, ello implica que no sea inusual ni la dedicación hasta altas horas de la noche o durante el fin de semana en condiciones de teletrabajo. Ello comporta necesariamente una movilidad que no suele afectar a otros puestos. Por ello, resulta esencial conocer cuáles son las condiciones en las que se desempeñará la tarea, cuáles son los hábitos de estas personas, para trata de dibujar o de diseñar un traje a medida. Ciertamente es más sencillo afirmar o comunicar las obligaciones relativas al deber de manejar los sistemas de información desde el entorno de trabajo sin complicarse la vida. Pero lo cierto es que la gestión de los puestos de alta dirección por su propia naturaleza es complicada y requiere de un esfuerzo de adaptación. Por supuesto, no estamos proponiendo aquí que, como en el caso del presidente Trump o de Hillary Clinton, uno pueda hacer cosas que no debería hacer. Lo que se propone es adaptar nuestra estrategia en materia de seguridad a condiciones razonables para el desempeño de tareas de la alta dirección, que a su vez se puedan producir en condiciones de garantía suficiente.
Es evidente, que con una estrategia centrada y eficiente en materia de alta dirección no sólo evitaremos el riesgo para la reputación de la compañía o la administración sino que aseguraremos la protección de activos muchas veces vitales para el futuro de las organizaciones.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Debe estar conectado para enviar un comentario.