Crónicas del GDPR. ¿El adiós a las medidas de seguridad de la LOPD?

Tras la publicación del Reglamento general de protección de datos (GDPR) de la UE se ha planteado si el principio de primacía determinará la no aplicación del Título VIII del Reglamento de la Ley Orgánica de protección de datos. Sin duda, se trata de una opinión jurídicamente impecable por diversas razones. La primera de ellas responde a la propia conformación por el GDPR de un modelo de seguridad entendido como objetivo alcanzable de acuerdo con la disponibilidad y el estado de la técnica. En segundo lugar, el GDPR apunta a metodologías más flexibles como códigos de conducta o certificaciones que apuntan más bien a estándares generales o específicos de una industria o sector.

Por último, no podemos desconectar la seguridad del objetivo de unificar el Derecho de todos los estados miembros. Si se impusiera el cumplimiento de la norma nacional se estarían introduciendo efectos distorsionadores al plantear barreras a la competencia entre responsables o encargados que traten datos en distintos países. A título de ejemplo, un responsable o encargado que decidiese establecerse en España y contase con políticas de seguridad adecuadas, pero no coherentes con las previsiones de la norma española, se enfrentaría a restricciones para la instalación en nuestro territorio.

Sin embargo la cuestión dista de ser sencilla. Una interpretación jurídica tan estricta debe limitarse exclusivamente al ámbito de la normativa sobre protección de datos. Resultaría más que dudoso considerar que otras normas vigentes en materia de seguridad, y en particular el Esquema Nacional de Seguridad (ENS) pudieran ser afectadas por el principio de primacía. El ENS, y el conjunto de normativas de seguridad desarrolladas por las distintas organizaciones públicas para dar cumplimiento a los objetivos del Esquema, tienen un ámbito de aplicación específico: el de la seguridad de la información en el sector público. Éste no resulta necesariamente afectado por la competencia de la Unión. Y en este ámbito se producen espacios de contacto significativos. Así, la clasificación de niveles de seguridad que establece el ENS toma como referencia el Título Octavo cuando se tratan datos personales. ¿Habría que redefinir esos niveles de nuevo o deberíamos mantenerlos? Por otra parte, los objetivos del reglamento nacional permean las políticas y normativas de seguridad definidas por las administraciones públicas generalmente en normas reglamentarias. ¿Hay que entenderlas también inaplicables?

Parece que la cuestión, resulta un tanto más compleja que aplicar la teoría general de la primacía del Derecho de la Unión. Y no es la única consideración a tener en cuenta a la hora de aproximarnos a esta materia. Tal vez la pregunta correcta no sea exclusivamente la relativa a determinar si en 2018 la norma española será aplicable. La cuestión a resolver consiste en establecer si cumplir con el Título VIII resulta de utilidad y debería ser considerado como un estándar admisible a efectos de verificación del cumplimiento de los objetivos del GDPR.

Para ello es imprescindible considerar la experiencia. El Título Octavo, y en su día el Real Decreto 994/1999, generaron una cultura de seguridad de la información hasta entonces desconocida, en particular en el contexto de las pequeñas y medianas empresas. Y esta no es una cuestión en absoluto banal. Precisamente el GDPR contiene una declaración expresa del legislador europeo en el sentido de hacerle la vida un poco más fácil a la pequeña empresa. Si atendida la experiencia histórica, reconocemos el hecho de que la mayor parte de políticas de seguridad existentes en las PYMES españolas traen su origen de los dos Decretos que regularon las medidas de seguridad en materia de protección de datos, coincidiremos en que dicha cultura no es en absoluto despreciable.

Por ello, entender que tras la entrada en vigor de plena aplicación del GDPR hay que hacer tabula rasa podría constituir un grave error de concepto, tanto desde un plano material, como respecto de la protección del derecho fundamental a la protección de datos. Las pequeñas y medianas empresas españolas no van a cambiar de un plumazo su modo de hacer las cosas. No es creíble que de hoy para mañana evolucionen sus ya per se escasas políticas de seguridad por algún tipo de estándar como la familia de las ISO 27.000. En realidad, lo más probable es que la PYME ante el mensaje de que el Reglamento nacional ya no es obligatorio entienda en la práctica que no debe hacer nada. Y esta podría ser una deriva profundamente peligrosa para la seguridad de la información en España. Esperemos que la Unión Europea y el regulador nacional no comentan la imprudencia de olvidar esta realidad.

Hay otro elemento que debe ser tenido en cuenta. El GDPR cuando se refiere a las medidas de seguridad no contiene un elenco de ellas. Hay dos previsiones específicas: la regulación del procedimiento notificación de violaciones de seguridad, y el deber de notificación obligatoria la autoridad de protección de datos de los análisis de impacto en la privacidad de los cuales podían derivarse graves riesgos para la seguridad a fin de establecer si es necesaria una autorización previa. Por tanto, se trata más bien de un deber general de proveer dicha seguridad cuya concreción corresponderá al responsable o encargado. Y sin embargo, dos conceptos fundamentales del GDPR deben ser vinculados con la seguridad y podrían impactar de modo muy severo respecto de las afirmaciones más o menos alegres en cuanto a la subsistencia del RLOPD.

Estos conceptos no son otros que el principio de responsabilidad proactiva, la llamada accountability y la protección de datos desde el diseño y por defecto. Comenzando por el segundo concepto, no hay que desconocer que éste conduce necesaria e ineludiblemente al concepto de seguridad desde el diseño y por defecto. En segundo lugar, a la hora de verificar si efectivamente el responsable es accountable y ha diseñado un conjunto de políticas de seguridad mínimamente razonables habrá que acudir al registro de tratamientos, si lo hubiere, y a la documentación de sus políticas. Esto es, deberá verificarse si efectivamente consta un análisis de los riesgos en materia de seguridad, si se han definido un conjunto de acciones que garanticen la adecuada alineación de los medios organizativos, de los medios físicos y de los medios electrónicos al cumplimiento del objetivo de la seguridad, y si existe una metodología de retroalimentación que permita generar un círculo virtuoso en el que no sólo se planificó la seguridad, sino que se evaluó su estado de cumplimiento y se adoptaron nuevas medidas o se redefinieron las existentes a partir de la experiencia generada con los impactos sufridos en la seguridad, con esas auditorías cíclicas que parece conveniente y necesario realizar. Y estas previsiones aunque mejorables ya existen en el RLOPD.

Renunciar al RLOPD en mi opinión sería una temeridad. Significaría echar por la borda el acervo de experiencia acumulado con motivo de la aplicación de los distintos reglamentos de medidas de seguridad. Por ello, merece la pena, desarrollar un segundo nivel de reflexión que vaya más allá de lo puramente normativo y se adentre en lo pragmático. En este sentido, las pequeñas y medianas empresas, las asociaciones, e incluso las administraciones públicas no pueden verse satisfechas con respuesta del tipo “es aplicable o no es aplicable”. La respuesta que necesitan es otra, se trata de conocer si en caso de mantener el estándar de cumplimiento normativo del Título Octavo se considera que su actuación es adecuada, confiable y cumple con los objetivos de la seguridad. De obtener una respuesta afirmativa, bastaría con implementar los procedimientos de notificación de violaciones de seguridad para completar sus políticas de seguridad garantizando la adecuación al Reglamento General de protección de datos.

Aceptar esta tesis, permitiría un avance fácil, rápido, y seguro para organizaciones cuyas capacidades económicas, materiales, y de personal se verían desbordadas si tuviesen que emigrar hacia un nuevo estándar de seguridad con un esfuerzo de reingeniería y por tanto con una nueva inversión. Por otra parte, el regulador ya cuenta tanto con una guía de medidas de seguridad, como con un documento de seguridad tipo y una herramienta de auto-check.

Nadie afirma, ni quiere que nos quedemos con la foto fija del RLOPD. El diseño de la seguridad es contextual y depende del estado de la tecnología. Precisamente por ello, a partir del mínimo común denominador del RLOPD la Agencia Española de Protección de Datos, podría realizar el esfuerzo de mantener y evolucionar sus guías, adaptar a los tiempos esa documentación, generando con ello un estándar fácilmente accesible por las PYMES españolas. No hacerlo así comportaría sin duda abocar al sector mayoritario de las organizaciones a una situación de grave riesgo para la garantía de la seguridad en el tratamiento de datos personales en España.

Coda adicional.

Se ha planteado si del mismo modo que existe un Comité de seguridad, podría un Comité cumplir con las funciones del delegado de protección de datos. Por mucho que esta cuestión admita en el plano teórico una respuesta afirmativa, tal respuesta podría ser seguramente apresurada y disfuncional. Varias razones justificarían este argumento.

El primer riesgo reside sin duda en concebir precisamente esta tarea como parte de la que corresponde al propio comité de seguridad. El delegado debe formar parte sin duda de este comité. Pero el comité de seguridad no puede, ni debe hacer de delegado. Sería una solución inadecuada y disfuncional. Y si además se concibe como un Comité al uso sin duda se generarán problemas. Habitualmente se trata de órganos integrados por una pluralidad de personas de distinta formación, con roles y funciones diversas dentro de la organización, que por la naturaleza de su composición deben reunirse cíclicamente para evaluar el estado de cosas en la materia de su competencia. Desde una estructura así, difícilmente va a pilotar el cumplimiento de las prescripciones del Reglamento General de protección de datos. El único modo de evitar este riesgo de ineficiencia consistiría en nombrar personas con responsabilidades específicas que cumplan con la misión de dar continuidad a las labores del órgano y que reporten regular y cíclicamente sobre el estado de cosas. Aun así, si la adopción de decisiones que pueden tener un carácter urgente o estratégico se condiciona al funcionamiento de un Comité que por su propia esencia tiende a burocratizar las cosas, devendrá imposible el cumplimiento de obligaciones como las de notificación de violaciones de seguridad.

Tal y como las define el GDPR, y me permito señalar que la experiencia de 20 años de cumplimiento normativo, las funciones del delegado se caracterizan por el dinamismo, por su apego a la realidad de las cosas y en muchas ocasiones por la necesidad de dar respuesta urgente a situaciones complejas. Por tanto la labor de asesorar al responsable, de atender las peticiones de un afectado, o de coordinarse en determinados ámbitos y tareas con la autoridad de protección de datos difícilmente se compadece y se compagina con un órgano como un Comité integrado por personas de muy distintos perfiles con procesos de decisión complejos. Crearlo tiene porqué ser una buena decisión operativa aunque tenga toda la legalidad a su favor.

Y créanme, quienes conciban al delegado como una especie de supervisor o revisor del cumplimiento de otros, o no entienden nada o no han trabajado de verdad en esto en su vida. Quienes estamos en el tajo sabemos muy bien que toca estar a pie de obra, ensuciarse las manos más de una vez y ofrecer respuestas funcionales, aplicables, y las más de las veces urgentes.