Fotografia de Los Mélez
Borja Ramon Beamonte, gestor de Tecnologies i Comunicacions i responsable de Complaince de la Fundació Habitatge Social.
La protecció de dades personals, preocupació creixent per a tota la societat, esdevé encara més crítica pels qui tracten amb col·lectius vulnerables. Tot i la seva importància, els esforços realitzats i els recursos que s’hi aboquen, fins i tot entitats potents i aparentment preparades, es veuen exposades a patir incidents significatius.
El 2021 la Creu Roja Internacional va sofrir un atac informàtic amb la filtració massiva de dades dels seus servidors, amb informació de mig milió de persones, incloent-hi persones refugiades i desaparegudes. El 2018, el Consell Municipal de Manchester, UK, va implementar el sistema One View per identificar persones sense llar, recopilant i combinant dades personals de diversos serveis socials, sense informar ni demanar consentiment als afectats. En un altre cas conegut, l’any 2020, la International Rescue Committee, EUA, va enviar un correu massiu amb noms i dades identificatives visibles per a tots els destinataris, exposant dades de milers de persones en situació de risc.
Robatori de dades, generació de perfils, manca d’informació als afectats, enviament de correus electrònics desprotegits, ús de dades sense consentiment explícit, falta de formació… condueixen a pèrdues involuntàries de control de la informació, amb conseqüències que poden ser devastadores sobre la vida de la gent. I són accions que, ho sabem, es repeteixen centenars, milers de vegades cada dia entre els actors de la lluita contra l’exclusió social, de forma ben intencionada, per tal de ser efectius i aconseguir canvis, però també de manera radicalment incorrecta.
En el cas de Creu Roja, la filtració d’informació sobre persones desaparegudes i refugiades els va exposar a les represàlies de governs repressius o grups armats, posant en perill persones que ja es trobaven en situacions extremadament vulnerables. A l’incident en l’ús del One View, els riscos inclosos eren la discriminació i estigmatització de les persones afectades, doncs les dades poden ser utilitzades per denegar serveis essencials o justificar accions de control social injustes. Pel que fa l’acció de Rescue Comittee, la fuita d’informació va provocar un augment del patiment registrat entre els refugiats, espantats per la possibilitat d’accions repressives als països de procedència.
A banda del perjudici directe, els incidents afecten la confiança del públic, i poden comprometre la capacitat de les organitzacions per operar de manera efectiva.
Un problema fonamental en la protecció de dades és que un cop la informació ha estat filtrada és gairebé impossible revertir els danys. A diferència d’altres tipus d’errors operatius, la pèrdua de dades té repercussions permanents.
Un altre aspecte és la complexitat tecnològica. En aquest món digital i híperconnectat, moltes organitzacions del Tercer Sector senzillament no disposen dels recursos econòmics ni humans que caldrien per a implementar els sistemes de seguretat necessaris, restant vulnerables tant a errors interns com a atacs externs per part de hackers o grups malintencionats.
Corregir els errors estructurals requereix de canvis culturals a les organitzacions i, això massa sovint, genera tensions i resistències internes. L’enfocament preventiu, com incorporar la seguretat de dades i la seva vigilància en el disseny dels processos, pot reduir significativament els riscos i evitar problemes. Això implica formar el personal, redefinir la forma de treballar, i establir una cultura de seguretat digital. Però aquest esforç esdevé un desafiament gegantí per a entitats amb recursos sempre insuficients per a abastar fins i tot la seva feina d’atenció als usuaris.
Potser encara més rellevant és que els propis quadres directius interioritzin i prioritzin el compliment normatiu en aquest àmbit, tant o més que en d’altres que solen tenir molt clars (el laboral, fiscal, salut…) doncs l’impacte de les vulneracions en la protecció de dades pot ser encara més perjudicial.
Com enfronta la Fundació Habitatge Social aquest repte?
L’entitat establí el 2017 un marc de treball inicial en la protecció de dades, un reglament intern de seguretat àmpliament basat en la norma; possiblement com moltes altres entitats, a la Fundació es va considerar que el més operatiu era començar per definir què es podia i què no es podia fer i, en base aquest punt de partida, anar aprofundint de forma progressiva els aspectes de sensibilització, formació i anàlisi d’eines i processos més particulars. Aquest esforç s’ha anat acompanyant, amb una freqüència bianual, d’auditories de protecció de dades executades per l’assessor legal de la fundació en aquest àmbit, destinades a corregir i millorar els procediments.
I en quin punt de l’escala d’exposició podríem dir que es troba? Com en tota política adreçada a la prevenció del risc, l’absència de problemes pot ser tan resultat de la bonança de les mesures preses, com de la manca d’oportunitats d’error o d’atacs. Un cop adoptades les mesures necessàries, progressar en el seu compliment exigeix, sobre tot, assegurar-se que les coses es fan com s’han de fer; per aconseguir-ho cal, d’una banda, enregistrar la pròpia activitat de compliment, i, d’una altra, posar-nos a prova nosaltres mateixos.
I, sobre tot, en l’àmbit de la protecció de dades cal recordar sempre que no podem estar satisfets. Que no hi ha un lloc de “protecció perfecta” al qual es pugui arribar; cal estar corrent sempre per seguir al mateix lloc.
És una tasca difícil i tensional, doncs obliga a replantejar-se tot el que es fa – des dels treballs més antics fins als projectes més innovadors – a la llum d’amenaces que es renoven constantment. I no és difícil que es pugui veure com una causa perduda, no per manca d’informació, normativa o actitud, sinó pel seu abast i complexitat. En contrapartida i a favor, hem de pensar que, en la mesura que no avancem, les vulnerabilitats seguiran creixent, posant en risc a aquells que menys es poden permetre ser-ne les víctimes.
