Más Privacidad para los datos personales. Más Transparencia para los datos públicos.
La seguridad de la información que queremos en esta nueva década debe garantizar que la información pública sea veraz, íntegra y accesible y, por otro lado, además debe ofrecer garantías de privacidad y confidencialidad de los datos personales.
Al inicio de esta década debería estar asegurado que nuestros datos son nuestros y de nadie más, que son confiables (que cuando los abramos estemos seguros de que no han sufrido modificaciones) y que podemos disponer de ellos siempre que queramos. Por otra parte, para la información pública, se debería asegurar que su consulta va a ser siempre posible a través de una transparencia real. Este tipo de transparencia pretende trascender lo que aún hoy en día sucede en muchos portales de la Administración Pública: la publicación de un alto volumen de datos sin estructura en la que buscar con facilidad y en los que, para acceder, se necesita un certificado electrónico que la mayoría de la población no sabe manejar, ni tan siquiera solicitar. Estas prácticas fomentan, en aras de la transparencia, el oscurantismo informativo ya que si queremos buscar algún dato concreto, primero debemos tener conocimiento de él, después saber en qué portal encontrarlos, para acceder a ese portal necesitamos en ocasiones disponer de un certificado electrónico y por último, bucear en miles de datos, páginas, pdfs sin estructura ni metadatos que nos permitan una búsqueda sencilla y ágil de lo que estamos buscando. Para evitar este tipo de situaciones debemos acercarnos a un concepto de transparencia en el que no se restrinja información pública a poseedores de certificados electrónicos, en la que los portales de transparencia sean eso y no meros redireccionadores a otras páginas en las están publicados datos sin ordenar.
La nueva década está ya aquí y debe traer tiempos de seguridad y confianza en los datos publicados. Han surgido medidas encaminadas a hacerlo posible.
La norma de seguridad de la información ISO 27001 ha sido ampliada con la extensión de la norma ISO 27701 que proporciona un enfoque internacional a la norma y define nuevos requisitos y controles para asegurar los derechos de los interesados con respecto a la seguridad de su información. Este tipo de medidas y requisitos van encaminados a proporcionar seguridad a todo tipo de empresas ayudando a integrar e implementar los principios del GDPR en un SGSI y deben ser manejados por los encargados de tratamiento de datos personales ya que se basan en un enfoque del riesgo relacionado con los datos personales y la privacidad. De hecho, según el informe “Risk in focus 2020”, el principal riesgo que afrontan las empresas para este nuevo año es el de la seguridad de los datos y la ciberseguridad. Pero todo riesgo entraña también una oportunidad, y es el momento de que las compañías se pongan manos a la obra para ofrecer sistemas de seguridad robustos que les otorguen la confianza de sus clientes y del público en general con medidas como, por ejemplo, la mejora del control de los accesos a la información.
Control de acceso y permisos a grupos y usuarios.
Se trata de definir políticas detalladas que determinen el acceso a la información: quién entra a qué, cómo, cuándo y con qué propósito. De esta manera podemos asignar permisos a las distintas cuentas de usuarios garantizando que la información solo pueda ser consumida por las personas indicadas. Para conseguir esto primero deberemos clasificar la información según su criticidad u otros criterios que sean lo suficientemente sólidos y razonados.
Existen otro tipo de medidas más allá del control de accesos en las que se deberá seguir profundizando a lo largo de esta nueva década para mejorar los sistemas de seguridad. Medidas como la creación de políticas de las copias de seguridad, que van enfocadas a mitigar posibles pérdidas de información, el cifrado de los datos para proteger la privacidad etc. Si queréis conocer más en profundidad este tipo de medidas, pinchad en este enlace.
Derecho a la información.
Por otra parte, el sector público se dirige a lograr un mejor modo de asegurar la disponibilidad de los datos públicos a través de una mayor transparencia de la información tal y como asegura el artículo 12 de la Ley de Transparencia, “Todas las personas tienen derecho a acceder a la información pública”. Además la Administración debe garantizar a los propietarios de los datos personales el acceso y el tratamiento a sus datos de manera ágil y sencilla.
Para favorecer la transparencia se trabaja sobre distintas vías complementarias como la creación de formatos abiertos e interoperables para favorecer al máximo la interoperabilidad, la creación de ficheros de datos o metadatos estructurados que faciliten la descarga de este tipo de ficheros para favorecer la estandarización y distribución de la información de un determinado tipo documental o encaminarse a una mayor facilidad de acceso a las (aún) necesarias solicitudes para acceder a la información pública. La tendencia actual es simplificar los cuestionarios de acceso y evitar la necesidad de certificados para su acceso, aunque esto en el futuro deberá desaparecer en favor de una verdadera transparencia en la que no sea necesario ni una sola traba, por pequeña que ésta sea, para acceder a la información. El acceso directo a información relevante deberá ser realizado en formatos abiertos y normalizados que puedan operarse desde distintas administraciones. Con la información presentada de este modo, posibilitará realizar análisis y comparaciones, procesar y reutilizar los datos y tener un procedimiento reglado, sencillo y dinámico de acceso.
Y es que el acceso a la información contribuye a crear una sociedad más propensa a la colaboración, a la innovación y a la participación social, favoreciendo la estimulación económica basada en un mayor acercamiento a contenidos y conocimientos.
