Mitos y Leyendas de la LOPD. Introducción

“Las almas de los pobres tenían que esperar eternamente en la orilla más cercana, a menos que eludieran a Hermes, su conductor, y se deslizaran por una entrada trasera, como la del Ténaro laconio o la del Aornis tesproto. Un perro de tres cabezas o, según dicen algunos, de cincuenta, llamado Cerbero, guarda la orilla opuesta del Estigia, dispuesto a devorar a los intrusos vivientes o a las almas fugitivas.”

(1) Greek Myths and Legends. Los Dioses del Mundo Subterraneo. Robert Graves.

La Protección de Datos y las Tecnologías de la Información vienen a ser como el agua y el aceite, difíciles de mezclar. En ocasiones se utiliza la ley como excusa para evitar la implantación de funcionalidades e incluso tecnologías que demandan los profesionales con respuestas del tipo “No se puede por LOPD”, tratando así de hacer desistir a los solicitantes de su intento de uso de software, hardware o cualquier otro producto tecnológico que pueda ayudarles con una mejora en el desempeño sus funciones.

Ciertamente, cuando tratamos datos de salud y en entornos corporativos, no solo no está de más ser prudentes y analizar cualquier nueva situación que pueda suponer un riesgo para la información sino que es una obligación. Sin embargo, el abuso de estas negativas, utilizando las leyes como un escudo, puede suponer un riesgo mayor, incluso, que el riesgo original supuesto, solo que quizás, estos nuevos riesgos ya no sean tecnológicos, y corresponda a otros resolverlos.

 Como consecuencia de estas prácticas, promocionadas por algunos profesionales no muy bien informados, o quizás no muy bien intencionados, aparece una realidad turbia que añade confusión al panorama ya complejo de la seguridad de la información y la protección de datos, y así, es como aparecen los MITOS Y LEYENDAS DE LA LOPD, haciendo que, en ocasiones, los profesionales a los que prestamos nuestros servicios se sientan como esos pobres que descienden al Tártaro, incapaces de cruzar al otro lado, teniendo que colarse por la entrada trasera del Ténaro laconio, evitando a Caronte y al Cerbero, si quieren que sus necesidades tecnológicas puedan convertirse en una realidad.

En esta publicación trataremos de analizar de forma objetiva estos mitos. Algunos tan extendidos como absurdos, otros, quizá exagerados, pero con una base real aunque no del todo argumentada, al menos no de forma rigurosa. Por otro lado, trataremos de ayudar a encontrar ese equilibrio tan necesario entre el “agua” y el “aceite”, buscando ese punto de encuentro de máximo servicio y rendimiento y máxima seguridad, siendo conscientes de que, si no somos los profesionales, será la realidad misma quien los encuentre por nosotros.

Ningún profesional del sector sanitario pone en cuestión la importancia de la confidencialidad de la información. También es conocida la importancia de la seguridad de la información. Este concepto, mucho más amplio, introduce cierto grado de confusión en cuanto a su aplicación. En cambio, cuando se habla de protección de datos, aparece una espesa niebla formada  por gran cantidad de dudas, posiblemente porque se trata de asuntos que afectan de forma más directa al trabajo diario y porque, ya se sabe, cuanto más se conoce un tema, mayores suelen ser las dudas planteadas.

Igualmente, nadie duda de que los datos personales son un gran negocio hoy dia, y que los datos de salud, son objeto de deseo para individuos dispuestos a pagar por ellos (6), por tanto, la prudencia respecto de cada nueva situación que pueda suponer un riesgo para los datos es una obligación en nuestro sector, y son los profesionales de las TIC’s y los profesionales de la seguridad los responsables de asesorar a la organización en este sentido.

Sin embargo, toda actividad conlleva cierto nivel de riesgo. Somos conscientes de que conducir conlleva cierto riesgo de accidente, y para disminuir estos riesgos, están las normas de circulación, conducimos con mayor precaución, más despacio y respetando las normas. Para disminuir el impacto, se incorporan cinturones de seguridad, airbags, ABS, … Sin embargo, los accidentes de tráfico siguen existiendo.

Igualmente, podemos encontrar paralelismos en la práctica clínica, en la que también existen riesgos inherentes. Por ejemplo, las transfusiones sanguíneas conllevan cierto riesgo de infección de hepatitis, VIH u otras enfermedades infecciosas. Existe el riesgo de transfundir sangre de un grupo o rh equivocado y provocar un shock anafiláctico.

Pero se siguen haciendo transfusiones de sangre cuando se considera necesario, a pesar de que sabemos que han causado la muerte en muchos casos como indican algunos informes sobre seguridad del paciente de la OMS, porque en todo caso, se siguen salvando millones de vidas.

No hay actividad sin riesgo. No hay oportunidad sin riesgo. Y por tanto, podemos afirmar que EL RIESGO CERO NO EXISTE.

Se puede abordar el riesgo de varias formas (2)(3),  podemos evitarlo censando en la actividad que lo genera, reducir la probabilidad de que ocurra mediante controles detectivos y preventivos, reducir sus consecuencias cuando ocurra utilizando medidas correctivas, transferirlo contratando un seguro contra inundaciones por ejemplo, o también, ¿por qué no? Aceptarlo.

Lo único que no se puede hacer con el riesgo es ignorarlo.

Del abuso de la primera opción, evitar el riesgo, es a lo que nos estamos refiriendo. Evitar el riesgo, como opción mal entendida, es lo más fácil para los profesionales de TI. Es lo que algunos profesionales identifican como  una forma de “informática defensiva”.  Esta forma de gestionar el riesgo, bien entendida, debería suponer una reingeniería de los procesos que lo introducen, y no tiene por que suponer el cese de la actividad que lo genera.

Adoptar el cese de la actividad también tiene unos costes  ¿Se puede permitir la organización cesar en una de sus actividades? ¿Nos planteamos dejar de hacer transfusiones de sangre por el riesgo de infección, o por el contrario redefinimos procesos y perfeccionamos los controles sobre la misma?

 Hagamos lo que hagamos, el riesgo cero no existe. El riesgo es interactivo (4). Si existe el riesgo de llevar a cabo una actividad, también existen riesgos por no llevarla a cabo. Si se mitiga un riesgo, es muy probable que se incremente algún otro riesgo relacionado. Por tanto, si esperamos a eliminar el riesgo para llevar a cabo una actividad, no podremos ponerla nunca en marcha. Y esto, puede suponer que las organizaciones no puedan realizar actividades necesarias para sus fines. Algo que tanto los profesionales de la seguridad como los profesionales de TI no deben perder de vista nunca en su papel de asesores.

Es la dirección quien tiene la responsabilidad de adoptar la decisión que más convenga a la organización y no los servicios de TI ni los expertos en seguridad de la información. Y esta decisión debe estar enmarcada por las obligaciones legales en primer lugar y por otros condicionantes de tipo técnico, económico, político, cultural, etc… Además, en el caso de los Servicios Sanitarios Públicos, se debería tener muy en cuenta los condicionantes impuestos por las prácticas relativas a la seguridad del paciente. Porque en definitiva, es el paciente el objeto de su existencia.

Y la herramienta para adoptar las decisiones más adecuadas respecto al riesgo no es otra que el Análisis de Riesgos.

Por supuesto no es oro todo lo que reluce. El uso de nuevas tecnologías, funcionalidades o tendencias, además de demostrar que presentan un nivel de seguridad aceptable para los órganos de dirección, deben demostrar su eficacia de una forma medible, y esta eficacia estará ligada a la consecución de los objetivos marcados por la organización.

En los capítulos que siguen, trataremos de analizar desde la óptica planteada por las técnicas de gestión de riesgos los MITOS Y LEYENDAS DE LA LOPD, aunque no sea solo de LOPD de lo que hablemos, sino también de seguridad de la información.

Sigue leyendo Mitos y Leyendas de la LOPD. Introducción