10 Lecciones aprendidas en el Curso de formación en Auditoría Tecnológica, de Seguridad y Legal de Sistemas de Información.

Debo confesarles algo, en ciertos cursos que se imparten, el docente debería pagar. Usualmente cuando los destinatarios del curso son compañeros y compañeras que se dedican a las tecnologías de la información, esta suele ser la regla. La necesidad de interiorizar los principios, valores y objetivos de la norma para trasladarlos al mundo físico y al código generan el caldo de cultivo para el intercambio de experiencias. En mi experiencia, esto suele generar un espacio de pensamiento compartido altamente enriquecedor orientado a la solución de problemas. En realidad, este escenario ofrece esa proactividad y compromiso con la protección de datos/seguridad desde el diseño y por defecto que exige el Reglamento (UE) 2016/679.

Desde hace un tiempo vengo reflexionando entre la diferencia sustancial que existe entre aprender cómo proceso integral y una de sus dimensiones, memorizar. Y también, respecto de cuál debería ser el objeto del aprendizaje cuando no se está formando a futuros juristas o delgados de protección de datos personales, sino aportando un valor adicional a profesionales de otros perfiles. Y la conclusión, aún a costa de usar un anglicismo, consiste en “empoderar”, a quien se forma. Ello implica, que lejos de pretender examinar al o la estudiante, lejos de convertirles en “expertos” se busca generar un estado de conocimiento y motivación operativos desde su puesto de trabajo para el crecimiento de la organización y la generación de equipos multidisciplinares.

Sin embargo, esto implica un esfuerzo de cambio en mi lado de la ecuación. Los usuarios empoderados esperan que su delegado de protección de datos, que su soporte jurídico, baje al campo y se embarre las manos. Necesitan de algo más que el asesor distante, y desgraciadamente muchas veces ignorante. Conocen cuál es su papel, y que rol corresponde al equipo de cumplimiento, y esperan un trabajo colectivo y armonizado, exigen que el soporte de cumplimiento descienda de los cielos, que entienda como se gestiona un proyecto, como se programa, que sepan que narices significa “iterar”.

A mis estudiantes les pregunto por sus lecciones aprendidas en breves frases. Aquí tiene el lector una muestra, sin categorización alguna, por orden de llegada. Juzguen por si mismos.

▪ Interiorizar la privacidad por defecto y garantizar la privacidad por defecto, extendiéndola a todo el ciclo de vida del dato. Eso implica pasar a la proactividad, en detrimento de la reactividad, y manteniendo un enfoque centrado en el usuario.

▪ Adoptar el análisis de riesgos como una herramienta más en el ciclo de vida de todos nuestros productos.

▪ La seguridad y garantizar la privacidad son tareas de toda la organización, desde el equipo directivo hasta el personal que intervenga en el tratamiento de los datos de los usuarios, y no solo de TI.

▪ Imprescindible la concienciación y formación del personal que realiza cualquier tratamiento de datos

▪ El nombramiento del DPD es un paso muy importante. No vale con nombrar un DPD sin pensarlo para quitarse de en medio el problema. Tiene que tener un perfil muy característico y hay que dotarle con la autonomía y el equipo necesario para poder realizar bien su trabajo. Es alguien que tiene que ayudar al cumplimiento de la normativa.

▪ Para tener una visión más exacta deberíamos ampliar nuestros conocimientos con la Directiva NIS y los trabajos realizados por el grupo de trabajo del Articulo 29.

▪ Es primordial realizar la protección de los datos desde el Diseño y por defecto.

▪Implica cambios fundamentales de mentalidad: Responsabilidad Proactiva (Accountability) y el Interesado/Afectado (Data Subject) en el Centro de las Decisiones.

▪ El Primer Valor Asociado a la Seguridad es que es una Decisión Funcional.

Análisis de Riesgos + Toma de Decisiones Relacionadas con la Información a Proteger, con el Tipo de Tratamiento y con la Tecnología Disponible. Permitiendo el uso de Estándares Certifcados.

▪ La alta dirección es garante del derecho fundamental a la protección de datos.

▪ El «Derecho a la Seguridad» es tan fundamental (como derecho recogido en la Constitución) como el «Derecho a la Protección de Datos»; y el ENS (apoyado tanto en el RGPD como en la Directiva NIS) garantiza la Legalidad y Legitimidad del tratamiento de los datos recopilados con objeto de preservar la Seguridad.

▪ Disruptividad: (el «palabro» de moda) Digitalización y Transformación Digital, el futuro inmediato que ha de empezarse a construir AHORA.

▪ Que la persona no necesite llevar a cabo ninguna acción para estar protegida. Es estar “protegido por defecto” me parece absolutamente necesario y oportuno.

▪ “Incrustar” la privacidad desde el diseño. Era un aspecto que se descuidaba, y que se pretendía resolver cuando la aplicación o el servicio estaba construido, con los consecuentes problemas y dificultades.

▪ Conveniencia de adoptar, como posible marco de trabajo, un estándar de seguridad acompañado de una metodología como de gestión. En nuestro caso estamos trabajando en ello, utilizando Cobot e ITIL para la gobernanza y gestión TI, e ISO 27000 como estándar de seguridad certificable.

▪ Sobre privacidad desde el diseño: Llegar antes del suceso, no después.

  • Proporcionar de manera predeterminada el máximo grado de privacidad, asegurándose de que los datos personales estén protegidos de manera automática en cualquier servicio o sistema de IT, sin necesidad de que la persona emprenda acción alguna para proteger la privacidad de sus datos.

  • Prever en la fase de diseño de los sistemas y servicios la privacidad, de manera inherente y no como un suplemento. Por lo tanto, la privacidad se debe convertir en un componente esencial de la funcionalidad central a implementar.

  • Acomodar todos los intereses y objetivos legítimos para un mismo fin, evitando las situaciones en las que si unos ganan otros pierden; el fin es único y se debe encontrar la forma de satisfacer todas las necesidades, esto es, de manera que todos ganan.

  • La confidencialidad se debe extender con seguridad a través del ciclo de vida completo de los datos involucrados, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, mientras sea necesario, para finalmente ser destruidos con seguridad al final del proceso, sin demoras.

  • Asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, ésta esté en realidad operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Esto es, sus partes, componentes y operaciones permanecen visibles y transparentes a usuarios y pro-veedores.

  • Los intervinientes en la manipulación de los datos deben mantener en una posición superior los intereses de las personas por encima de todo, esto es, manteniendo un enfoque centrado en garantizar la protección del usuario.

▪ El registro de los tratamientos, herramienta estratégica para la gestión de la protección de datos desde el diseño

▪ Todo proyecto tecnológico tiene que tener en cuenta la privacidad y tratamiento de los datos desde el diseño y concepción inicial. Deben formar parte de los requisitos funcionales del proyecto.

▪ Todo proyecto o propuesta con cierta envergadura, deberá estar acompañada de un informe de viabilidad y cumplimiento con la normativa de protección de datos.

▪ A la hora de vencer reticencias respecto a la aplicación del RGPD en nuestras universidades, es importante tener en cuenta la siguiente recomendación:

“Se debe considerar la protección de datos como una inversión estratégica del activo más importante de la universidad que es la información”.

▪ Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.

▪ Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD. Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los mismos.

▪ El principio de accountability (responsabilidad proactiva) significa un cambio de modelo en la gestión de la información que se venía haciendo hasta ahora. Con el RGPD la organización es responsable de la adopción de las medidas de seguridad en función del análisis de riesgos.

▪ La EIPD es una herramienta de carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

▪ El nuevo Reglamento pretende implantar una nueva cultura de privacidad de los datos personales en las organizaciones y no ser sólo un mero cumplimiento legal. ¿A qué va a obligar la Ley a las organizaciones? A ser más activas y constantes en el cumplimiento de la legislación de protección de datos. Por tanto, a ser proactivas y responsables. Y a diseñar sistemas y servicios que por defecto y desde su diseño se proteja la privacidad de los ciudadanos.

▪ Fomento de la innovación: si la protección de datos es en un principio fundamental, acciones innovadoras la fomentarán.

▪ Qué tengo que hacer desde el área TI:

  1. Digerir y traducir. ¿Cómo me las maravillaría yo para entender la jerga del legislador, interpretarlo y traducirlo a jerga TI?. Y luego, trasladarlo a mis usuarios para que entiendan y apliquen.

  2. Convencer Demostrar a mis superiores que esto es importante.

  3. Conseguir que mi organización designe un DPO

  4. Ayudar a mi DPO y mi organización a realizar el análisis de riesgos, elaborar plan de actuación y desarrollarlo.