Seguridad por teléfono.

La Agencia Española de Protección de Datos ha publicado una nota informativa sobre auditorías telefónicas de medidas de seguridad acotando el carácter inadecuado de una práctica que los profesionales venimos denunciando hace años. Como es habitual, en este blog se expresa un punto de vista estrictamente personal, que sólo representa a su autor y podría decirse que de esto se viene advirtiendo aquí desde hace un periodo significativo de tiempo. Así por ejemplo, se escribía aquí en una fecha tan cercana como el 16 de septiembre de 2014 el artículo «LOPD y negociados afines: hágase experto en cinco minutos» en el que nos referíamos a prácticas del tipo “cumpla la LOPD en treinta minutos” o “sea un experto sin estudiar”.

El 1 de agosto de 2015 en «Cuando se jodió la privacidad» se era un poco más preciso:

«Pero las cosas, no se rompen de una vez, salvo cataclismo. El segundo momento, se produjo sin ningún género de dudas durante el desarrollo del Título VIII del actual Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. En el momento de regular la auditoría se planteó por los profesionales, y créanme se debatió en los grupos de trabajo, la inclusión de alguna referencia profesional en la regulación de la auditoría. Desde una mención expresa al auditor, hasta algo tan light como decir que la auditoría de seguridad se llevaría a cabo de acuerdo con los estándares profesionales vigentes o aplicables. La oposición fue absolutamente frontal. Del mismo modo que lo ha sido después a abrir canales de comunicación específicos o a alinearse con la lucha frente a la LOPD Coste Cero».

No dude el lector, que podríamos llenar alguna que otra página con constantes avisos, sugerencias, ruegos, y hasta súplicas no ya propias sino escritas por más de un ilustre bloguero o tuitero del mundo de la privacidad. Durante mucho tiempo fueron, fuimos, predicadores en el desierto. Parece sin duda que por fin los tiempos cambian y debemos felicitarnos por ello. Pero la alegría presente no debe hacernos olvidar la responsabilidad de todos aquellos que en el pasado hicieron oídos sordos. Y además ésta debe ser una lección aprendida para el futuro.

Durante un tiempo parecía que la humilde profesión de consultor LOPD, y puede que la de auditor de seguridad, era algo que podía hacer cualquiera. Y esto de algún modo incluso segmentaba nuestro mundo en una especie de clase alta, de la élite de la privacidad, la de los grandes expertos. La de esa gente a cuyos elegantes desayunos hay que ir sí o sí. Y la otra, la de los humildes consultores, la de los que tomaban apuntes. Y ese ambiente de sistemática ignorancia de la crucial tarea que cumplen los consultores que asesoran a cada PYME fue sin duda el caldo de cultivo que alentó los distintos males que hoy padecemos.

Cuando desde los grupos de trabajo se negó una mínima mención a la profesionalidad en los métodos de auditoría se sembró la semilla del cualquiera puede. Cuando se colgaba el teléfono a quién inocentemente se declaraba consultor de esos que no desayunan. Cuando no se persiguió penalmente a los que se hacían pasar por inspectores. Cuando no se apoyó a los profesionales en el asunto del Coste Cero. En todos esos casos, desde la neutralidad más absoluta se estaban alentando inadvertidamente las malas prácticas. Y hoy, descubrimos lo evidente y la nota resulta incompleta ya que también se hacen auditorías de legalidad previas a la declaración de ficheros “por teléfono” y cosas mucho peores. Y esto lo sabe cualquier experto en protección de datos.

La realidad es muy tozuda y permítame el lector hacer un vaticinio: con el futuro Reglamento iremos a peor. La norma es pacata cuando se refiere al Delegado de Protección de Datos y seremos los profesionales los que deberemos reivindicar su regulación nacional. Y mientras tanto, muy serias organizaciones regalarán certificados de expertos con cursos de una semana a 1500 euros. Esto en realidad carece de virtud, ya ha sucedido y ya hay valleinclanescos “expertos certificados en la versión 3 del Proyecto de Reglamento”. Y con la crudeza que caracteriza este blog no puede sino advertirse a quienes a veces son invitados a impartirlos que los examinen con lupa. Hoy vivimos tiempos de transparencia y rendición de cuentas.

Y con la misma cruda sinceridad pero con un radical compromiso debemos reivindicar el papel crucial que la buena gente honrada, la que se toma su trabajo en serio despliega en el día a día. Son ellos los que podrán hacer posible el cumplimiento y la garantía del derecho fundamental a la protección de datos, son ellos los que vertebrarán el salto a internet de nuestras PYMES. Por eso, tienen una radical responsabilidad reivindicarse desde la excelencia. Asumir la formación en privacidad como un reto personal, aliarse con las personas y las organizaciones honradas y comprometidas con el rigor, la independencia y la profesionalidad. Huir del camino fácil.

El tiempo da y quita razones. Los que desde un lejano día en la UIMP avisamos de esto, los que propusimos dicciones non natas de normas reglamentarias, los que denunciamos hasta quedarnos sin voz mil y una corruptela, teníamos razón. Y hoy puede que también la tengamos cuando proponemos el reconocimiento de la figura de un DPO flexible, cuando apostamos por modelos de certificación rigurosa e independiente que exija un corpus de conocimiento acreditado, y cuando pensamos que el Reglamento si se apoya en los profesionales será una oportunidad.

A ver si no hay que esperar diez años para que esto se entienda.