Foto de Los Mélez
Borja Ramon Beamonte, gestor de Tecnologías y Comunicaciones y responsable de Complaince de la Fundación Vivienda Social.
La protección de datos personales, preocupación creciente para toda la sociedad, es aún más crítica para quienes tratan con colectivos vulnerables. Pese a su importancia, los esfuerzos realizados y los recursos que se vierten, incluso entidades potentes y aparentemente preparadas, se ven expuestas a sufrir incidentes significativos.
En 2021 Cruz Roja Internacional sufrió un ataque informático con la filtración masiva de datos de sus servidores, con información de medio millón de personas, incluyendo personas refugiadas y desaparecidas. En 2018, el Consejo Municipal de Manchester, UK, implementó el sistema One View para identificar a personas sin hogar, recopilando y combinando datos personales de diversos servicios sociales, sin informar ni pedir consentimiento a los afectados. En otro caso conocido, en 2020, la International Rescue Committee, EE.UU., envió un correo masivo con nombres y datos identificativos visibles para todos los destinatarios, exponiendo datos de miles de personas en situación de riesgo.
Robo de datos, generación de perfiles, falta de información a los afectados, envío de correos electrónicos desprotegidos, uso de datos sin consentimiento explícito, falta de formación… conducen a pérdidas involuntarias de control de la información, con consecuencias que pueden ser devastadoras sobre la vida de la gente. Y son acciones que, lo sabemos, se repiten cientos, miles de veces cada día entre los actores de la lucha contra la exclusión social, de forma bien intencionada, para ser efectivos y conseguir cambios, pero también de forma radicalmente incorrecta.
En el caso de Cruz Roja, la filtración de información sobre personas desaparecidas y refugiadas les expuso en las represalias de gobiernos represivos o grupos armados, poniendo en peligro a personas que ya se encontraban en situaciones extremadamente vulnerables. En el incidente en el uso del One View, los riesgos incluidos eran la discriminación y estigmatización de las personas afectadas, pues los datos pueden ser utilizados para denegar servicios esenciales o justificar acciones de control social injustas. En cuanto a la acción de Rescue Comittee, el escape de información provocó un aumento del sufrimiento registrado entre los refugiados, asustados por la posibilidad de acciones represivas en los países de procedencia.
Aparte del perjuicio directo, los incidentes afectan a la confianza del público, y pueden comprometer la capacidad de las organizaciones para operar de forma efectiva.
Un problema fundamental en la protección de datos es que una vez la información ha sido filtrada es casi imposible revertir los daños . A diferencia de otro tipo de errores operativos, la pérdida de datos tiene repercusiones permanentes.
Otro aspecto es la complejidad tecnológica . En este mundo digital e híperconectado, muchas organizaciones del Tercer Sector sencillamente no disponen de los recursos económicos ni humanos que se necesitarían para implementar los sistemas de seguridad necesarios, restando vulnerables tanto a errores internos como a ataques externos por parte de hackers o grupos malintencionados.
Corregir los errores estructurales requiere cambios culturales en las organizaciones y, esto con demasiada frecuencia, genera tensiones y resistencias internas. El enfoque preventivo, como incorporar la seguridad de datos y su vigilancia en el diseño de los procesos, puede reducir significativamente los riesgos y evitar problemas. Esto implica formar al personal, redefinir la forma de trabajar, y establecer una cultura de seguridad digital. Pero este esfuerzo se convierte en un desafío gigantesco para entidades con recursos siempre insuficientes para abarcar incluso su trabajo de atención a los usuarios.
Quizás aún más relevante es que los propios cuadros directivos interioricen y prioricen el cumplimiento normativo en este ámbito, tanto o más que en otros que suelen tener muy claros (el laboral, fiscal, salud…) pues el impacto de las vulneraciones en la protección de datos puede ser aún más perjudicial.
¿Cómo enfrenta la Fundación Vivienda Social este reto?
La entidad estableció en 2017 un marco de trabajo inicial en la protección de datos, un reglamento interno de seguridad ampliamente basado en la norma; posiblemente como muchas otras entidades, en la Fundación se consideró que lo más operativo era empezar por definir qué se podía y qué no se podía hacer y, en base a este punto de partida, ir profundizando de forma progresiva los aspectos de sensibilización, formación y análisis de herramientas y procesos más particulares. Este esfuerzo se ha ido acompañando, con frecuencia bianual, de auditorías de protección de datos ejecutadas por el asesor legal de la fundación en este ámbito, destinadas a corregir y mejorar los procedimientos.
¿Y en qué punto de la escala de exposición podríamos decir que se encuentra? Como en toda política dirigida a la prevención del riesgo, la ausencia de problemas puede ser tan resultado de la bonanza de las medidas tomadas como de la falta de oportunidades de error o de ataques. Una vez adoptadas las medidas necesarias, progresar en su cumplimiento exige, sobre todo, asegurarse de que las cosas se hacen como deben hacerse; para conseguirlo es necesario, por un lado, registrar la propia actividad de cumplimiento, y, por otro, ponernos a prueba nosotros mismos.
Y, sobre todo, en el ámbito de la protección de datos es necesario recordar siempre que no podemos estar satisfechos. Que no existe un lugar de “protección perfecta” al que se pueda llegar; hay que estar corriendo siempre para seguir en el mismo sitio.
Es una tarea difícil y tensional, pues obliga a replantearse todo lo que se hace – desde los trabajos más antiguos hasta los proyectos más innovadores – a la luz de amenazas que se renuevan constantemente. Y no es difícil que pueda verse como una causa perdida, no por falta de información, normativa o actitud, sino por su alcance y complejidad. En contrapartida ya favor, debemos pensar que, en la medida en que no avancemos, las vulnerabilidades seguirán creciendo, poniendo en riesgo a aquellos que menos pueden permitirse ser sus víctimas.
