Eventos «LOPD»

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un «evento LOPD» y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de «evento» a «incidencia» en el sentido entendido por el artículo 10 del RMS, «Registro de incidencias», sino que dentro de la idea de «evento» estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los «eventos LOPD» sería una tarea casi interminable no sólo por la cantidad sino por la «calidad» (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un «evento LOPD»? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.

¿Pero es eso lo que la LOPD y su viejo acompañante el RMS piden? En mi opinión, no. Éstos pretenden, intentan, o exigen que la empresa haga un uso adecuado de los datos personales: haga usted las cosas bien. Y aunque existen una serie de eventos o incidencias que sí, efectivamente, requieren obligatoriamente ser registrados, no son más que partes aisladas de procedimientos generales, que son los que deben cumplirse. En otras palabras, por políticamente incorrecto que suene, tener un registro extremadamente exhaustivo de sucesos o uno con lo básico —o lo más flagrante— no asegura nada (de nuevo, desde el punto de vista de la LOPD). Porque no es el evento lo que necesitamos perseguir, sino el procedimiento en su conjunto: un evento de recuperación de una base de datos sirve de poco si se ha saltado por encima de las personas autorizadas, o si se ha recuperado sobre un soporte USB que fulanito le va a dejar a menganito para que se lo lleve a su casa. ¿Hay alguna manera de controlar todas esas posibles situaciones irregulares? No.

No hay duda de que el registro del evento no sólo es muchas veces necesario y obligatorio, pero repito, no es el objetivo final del tratamiento de datos de carácter personal; es sólo un eslabón de toda la cadena, que es la que debemos al fin y al cabo completar de manera correcta. Y el punto al que vamos a morir con esto es que, al igual que en otros muchos ámbitos, en última instancia la seguridad, y con ella la LOPD, depende en gran parte del nivel de concienciación del usuario final. O dicho de otra forma, que aunque por supuesto aportan su granito de arena, ni la existencia ni la ausencia de un evento implica que se ha seguido el procedimiento correctamente. Desesperanzador, ¿no creen?