Es el equipo….

Artículo "Es el equipo..." de Ricard Martínez en la Sección "Ojo Al Dato" de la Revista Tecnología y Sentido Común #TYSC26 de enero de 2023

Desde la llegada de la informática de usuario, es decir, desde el momento en el que en las organizaciones se pudo prescindir de procedimientos de programación complejos, han existido serias disfunciones a la hora de definir las condiciones para el tratamiento de datos de carácter personal. Usualmente el cumplimiento normativo en esta materia, tanto desde el punto de vista de la seguridad, como desde el punto de vista de legal de la legalidad se producía tradicionalmente ex post facto. Alguien había decidido que era conveniente tratar datos y cuando el proceso era particularmente sencillo y podía desplegarse mediante el recurso a la ofimática convencional: se trataban los datos. Posteriormente se regularizaba el tratamiento cuando se descubría su existencia, tras un proceso de formación, de una auditoría, o en el peor de los casos con motivo de un procedimiento sancionador.

Existía otra metodología que trataba de incorporar un rudimentario pero incompleto modelo de gestión. Se trataba de aquellos supuestos en los que la necesidad de procesar datos adquiría una dimensión compleja que no estaba al alcance del personal que había decidido llevarlo a cabo. Usualmente se vinculaba a necesidades de gestión o actividades de marketing. En tales casos, los responsables acudían a aquellas unidades de negocio con capacidad para diseñar el sistema de información, o bien procedían a la contratación externa de empresas o de personas individuales con estas capacidades de desarrollo. De nuevo el conocimiento se encontraba parcialmente distribuido y no tenía porque necesariamente alcanzar ni a los responsables de la seguridad ni aquellos a los que se encomienda el cumplimiento normativo en materia de protección de datos. En aquellos casos en los que el proceso se completaba adecuadamente, no era en absoluto inusual que la última notificación se destinarse a las unidades que tienen encomendado el cumplimiento normativo. Obviamente no resultaba en absoluto extraño que se detectasen en significativos incumplimientos o barreras que hacían materialmente imposible el desarrollo de la actividad tal y como se había planificado desde sus inicios.

La consecuencia directa de este estado de cosas no era otra que la existencia de una cierta anarquía en los sistemas de información, tanto desde el punto de vista de la gestión y organización de la empresa como desde el punto de vista de las medidas de seguridad. Y esto comportaba consecuencias generalmente indeseables. La primera de ellas, fruto del caos organizativo, no era otra que el despliegue de esfuerzos paralelos y redundantes, con la consiguiente pérdida de eficiencia en la administración de la información y de calidad de la misma. La segunda, la multiplicación de los incidentes de seguridad. La tercera, y obviamente la más indeseable, incurrir infracciones que en no pocas ocasiones eran objeto de investigación por las autoridades de protección de datos. Sin en el año 2023 la descripción de nuestro pasado sigue siendo actualidad en su organización tiene usted un serio problema. En nuestros tiempos, desde la más pequeña de las empresas al más complejo de los entornos el trabajo multidisciplinar, el trabajo en equipo resulta un requisito esencial.

En el primer caso, puede que usted piense que carece de necesitar soporte alguno, habida cuenta de que sus datos se encuentran en un servicio en la nube y todo el software que utiliza ha sido licenciado por un tercero experto en su área de negocio. Y, sin embargo, en los ordenadores de su pequeña empresa sigue existiendo ofimática. Sus colaboradores pueden seguir utilizando entornos no autorizados para el almacenamiento de información, y en el peor de los casos pueden estarse utilizando los datos, contraviniendo los principios más elementales de la seguridad o de la finalidad para la que se recogieron desde un punto de vista jurídico.

En los centros más complejos, la aplicación de los principios de protección de datos desde el diseño y por defecto impone ineludiblemente la generación de equipos multidisciplinares que iteran conjuntamente. Como hemos señalado reiteradamente en los artículos publicados en esta sección, la decisión de tratar un dato no es primariamente jurídica, sino organizativa y comporta la atribución de los recursos necesarios para un adecuado diseño e implementación del sistema de información del que se trate. Tomada esta decisión, resulta ineludible construir un equipo de trabajo que integre a aquellas personas que desde la perspectiva del negocio conocen las necesidades del tratamiento con aquellas que cuenten con la capacidad de soportar el diseño e implementación del sistema, junto con la adopción de las medidas de seguridad necesarias en todos los niveles.

Se trata de un trabajo dinámico y altamente creativo que comporta una necesaria flexibilidad del conjunto del equipo. Hemos dedicado muchas líneas en esta publicación a señalar el ineludible cambio de actitud de los equipos jurídicos que deben entender su función de servicio y adoptar nuevas metodologías que suponen cambios significativos en los patrones de conducta usuales. Palabras como “compliance” o “legaltech” expresan esta nueva filosofía al servicio de un modo dinámico de definir el cómo se tratarán los datos, y muy lejos de una posición distante y preeminente más propia del juez que de la consultoría para el desarrollo.

Sin embargo, debemos subrayar que este enfoque flexible no sólo compete al equipo legal, sino también al conjunto de las personas que se integran en el desarrollo. Desde el punto de vista de negocio, es fundamental entender que no todo fin beneficioso o lucrativo es esencialmente positivo. La garantía de los derechos fundamentales y una mínima ética de los negocios obliga a entender que no todo aquello que se puede hacer, debería realizarse. Por otra parte, los equipos de gestión de negocio deben ser capaces de entender que los recursos son limitados y que en muchas ocasiones los tratamientos de la información vienen condicionados por elementos como la naturaleza del lenguaje de programación, la disponibilidad de infraestructuras, o los requerimientos de seguridad. Es hora de renunciar definitivamente a un entendimiento de la informática que la equipara más a la magia y a lo milagroso que al despliegue natural de la ciencia computacional.

Por su parte, los equipos de tecnología de la información deben pertrecharse de un conocimiento jurídico y ético básico que les capacite para entender cuáles son los límites que no deberían poder ser traspasados. Y, en este enfoque basado en metodologías de protección de datos desde el diseño y por defecto deben interiorizar que, en la medida en que su código definirá las condiciones de cumplimiento, una parte que sus tareas es materialmente normativa. Por otro lado, deben ponerse en el lugar del cliente y del usuario de los sistemas de información. En más de una ocasión, el problema de seguridad o de cumplimiento normativo deriva más de un programador que decidió hacer las cosas de acuerdo con su enfoque de conocimiento altamente especializado. Y el resultado no es otro que programar un sistema de información utilizado por personas que carecen de sus altas capacidades en esta materia y que, por tanto, cuanto más complejo es el entorno mayor riesgo de incumplimiento existirá.

Alcanzar la virtud comporta siempre esfuerzo, sacrificio y dedicación. Pero, y debo insistir, si en 2023 estas lecciones no han sido aprendidas su organización tiene un serio problema

Ricard Martínez

Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad