16 diciembre 2013

Seguridad Vs Privacidad. O estamos equivocados?

Es muy habitual pensar en la privacidad y en la seguridad como dos aspectos prácticamente antagónicos. No hay más que buscar noticias sobre privacidad y seguro que nos encontramos con alguna en la que ambos conceptos estén enfrentados. Sin embargo, cuando participas en congresos sobre alguna de las dos temáticas, te das cuenta de que los profesionales que se dedican a ambas disciplinas trabajan de la misma manera, persiguen objetivos similares y tratan asuntos prácticamente idénticos. Cómo puede ser posible que una misma cosa y su contraria puedan ser tan similares?

La realidad es que seguridad y privacidad son prácticamente lo mismo. La única (aunque gran) diferencia entre ambos conceptos está en el foco: la privacidad se preocupa por las personas, la seguridad se preocupa por las organizaciones (empresas o incluso estados). O dicho de otro modo: si aplicásemos todos los conceptos que maneja una de las disciplinas al foco de la otra, estaríamos hablando de lo mismo.

Siendo conscientes de la gran proximidad entre ambas disciplinas todavía puede sorprender más ese antagonismo percibido. Si la privacidad consiste en levantar los muros de mi casa y la seguridad supone añadir una valla exterior, no deberían ser dos planteamientos convergentes en lugar de divergentes?

Por añadir otro argumento más a esta visión, no deberíamos olvidarnos del hecho (trivial, pero importante) de que las organizaciones están compuestas por personas. Por lo tanto, si protegemos la seguridad de las personas, no estaríamos protegiendo también la seguridad de la organización? Por qué en la ilustración montan la seguridad de la organización destruyendo la privacidad de los individuos?

Vistos los argumentos anteriores, el planteamiento clásico de seguridad Vs privacidad no tendría ningún sentido si no fuera por un aspecto importante, y es que la seguridad trata de proteger a la organización INCLUSO de sus propios miembros. La valla de la ilustración no está completa, ya que en realidad debería ser una valla doble con otro frente hacia el interior. Y es precisamente bajo ese planteamiento, consistente en que los propios miembros de la organización también pueden ser una amenaza, cuando tiene sentido que uno de los objetivos de la seguridad sea conocer lo mejor posible a estas potenciales amenazas, tratando de limitar por tanto la seguridad de las personas en favor de la seguridad de la organización.

Y precisamente es en este punto en el que quería plantear un par de reflexiones que me parecen importantes, aunque no sé si fáciles de responder. La primera es en torno al debate sobre las organizaciones y las personas que las componen. ¿Qué es lo que hay exactamente entre esas dos vallas, para que tengamos que protegerlo "contra" (y a costa de la privacidad de) los miembros de la organización? Y la segunda es sobre la forma de aplicar la seguridad. ¿Nos estamos planteando estrategias complementarias o alternativas de tipo "zanahoria" (recompensas, incentivos, etc.) en relación al personal de la organización, o sólo estamos planteando estrategias de tipo "palo" a la hora de aplicar la seguridad?

En definitiva, creo que el debate de seguridad contra privacidad no hace sino ocultar otros debates más profundos, como es el de la definición de las estrategias en las que basamos la aplicación de la seguridad, y en última instancia el eterno debate entre personas físicas y jurídicas y las consecuencias sociales de su disociación. No os parecen estos debates mucho más apasionantes?

10 diciembre 2013

Información, transparencia y limitaciones

Hoy se ha publicado en el BOE la esperada Ley 19/2013 de Transparencia. Para los habituales del blog no resultará nueva la relación entre el ENS y la Transparencia, ni creo que les sorprenda ver un post al respecto teniendo en cuenta que hace más de 3 años que esperaba poder publicar algo en este sentido. Por lo tanto, hoy tocaba postear algo, aunque sea breve...

Como positivo, esta Ley nos proporciona una especie de "catálogo" de información clasificable como pública, si hacemos un análisis de su Capítulo II:

  • Información institucional y organizativa: Funciones del organismo, normativa aplicable, estructura organizativa, responsables (y su perfil y trayectoria profesional), etc. 
  • Información de planificación:  Planes y programas, objetivos, actividades, medios y plazos previstos para su ejecución, resultados de todos ellos, etc. 
  • Información de relevancia jurídica: Interpretaciones legislativas, proyectos legislativos y reglamentarios, memorias e informes, etc.
  • Información económica y presupuestaria: Información económica del organismo (contratos, convenios, subvenciones, presupuestos, cuentas anuales, etc.) así como información económica asociada a los altos cargos (retribuciones, indemnizaciones, declaraciones de bienes, etc.
  • Información estadística: Tanto de carácter económico como de funcionamiento, necesaria para valorar la calidad de los servicios prestados. 
También nos da una serie de criterios en base a los cuales deberíamos considerar la "confidencialidad" de la información que manejan los organismos públicos (junto a los "clásicos" como la seguridad nacional, la defensa o la seguridad pública se incluyen otros previsibles, como los aspectos relacionados con la comisión de ilícitos, las funciones administrativas de supervisión o los procesos judiciales, y otros que me parecen potencialmente polémicos, como los económico-comerciales o los medio-ambientales). Sin embargo, no se para a establecer niveles de criticidad en relación a estos criterios, indicando simplemente que dicha evaluación será específica para cada caso, justificada y proporcionada. 

Uno de los aspectos que más me ha llamado la atención es que no se habla expresamente de los procedimientos administrativos, ni en el "catálogo de información clasificable como pública" ni en la lista de limitaciones. Por lo tanto, la mayor parte de la información en poder de las administraciones públicas parece quedar al margen de estos "criterios" de clasificación.

Pero sobre lo que me gustaría incidir es sobre una limitación existente en torno al concepto de "clasificación" de la información, y es su carácter estático. El ENS nos "anima" a clasificar la información, a determinar si un determinado tipo de información es público, confidencial o secreto. Pero no podemos olvidar que esta clasificación puede variar a lo largo del tiempo. Un ejemplo de película podría ser la desclasificación de expedientes, por la que un determinado expediente X pasa a ser público transcurrido un determinado número de años. Otro más cercano podría ser la valoración de las ofertas asociadas a un contrato público, que sería confidencial mientras se están evaluando las ofertas pero pasaría a ser pública (información económica y presupuestaria) una vez que haya concluido el proceso de adjudicación.  Este tipo de situaciones no quedan bien contempladas dentro de los planteamientos del ENS, y la Ley de Transparencia pone más de manifiesto este tipo de situaciones. 

En definitiva, creo que la Ley de Transparencia, más allá de valoraciones de otro tipo, ha sido una oportunidad perdida para establecer un catálogo de referencia general para clasificar la información administrativa, y por lo tanto una cierta decepción para muchos organismos que podrían haber visto en esta Ley una importante ayuda para impulsar la adopción del ENS. Adopción que, por otra parte, no aparece ligada en ningún punto. No hubiera sido deseable que la seguridad de la información hubiera estado expresamente citada? Una pena...