Recién estrenado mi badget como CISA (puedes comprobarlo aquí), intento recuperar el tiempo perdido en la redacción de posts sobre los asuntos que más me interesan: la privacidad y la seguridad de la información.

Hace unos días, fui ameblemente invitado a dar una charla sobre estos asuntos, para algunos médicos de un hospital público.

Intenté preparar unas diapositivas que fueran amenas y nada técnicas (la sesión era a las 8 de la mañana de un lunes…), subrayando algunos errores comunes en el tratamiento de datos personales por parte de los profesionales de la salud y las posibles consecuencias derivadas de la falta de seguridad.

Por lo menos, conseguí que no bostezaran ostensiblemente. De hecho, vi a los asistentes que empezaban a calentarse con algunas afirmaciones mías. Aunque estas últimas fueran el mero reflejo de una realidad que todos conocemos (hasta los mismos médicos), notaba cómo la indignación subía por momento. Por lo visto, sienta mal que a uno le digan que hace mal su trabajo…

Desde luego, no he criticado su labor técnica (faltaría más); es más, teniendo en cuenta los horarios de trabajo y la escasez de recurso que, desde un tiempo a esta parte, parece sufrir el sector, tuve a bien loar su actividad. Pero cuando topamos con el uso de ordenadores, historias clínicas y demás amenidades, la cosa cambió.

«Es más fácil compartir contraseña«, «Cuando cierro la sesión para que otro facultativo pueda acceder, el ordenador tarda mucho tiempo» (comprobado, es así) o «¿Será culpa del Windows XP?» han sido las críticas más suaves a mi intervención.

Parecía que los dos, los médicos y el charlatán de la LOPD, pertenecíamos a dos bandos contrarios y enfrentados.

No ha habido manera de hacerles entender (admito mi fracaso) que su labor médica afecta, entre otras cosas, a un derecho fundamental, que es el de la privacidad. Que ésta puede preservarse con concienciación, formación y participación en la planificación de las políticas de privacidad.

Cuando he preguntado sobre el porqué no se involucraban activamente en la mejora de los procesos para el correcto y seguro tratamiento de los datos personales, me han dicho, más o menos «Bastante tengo con lo mío. Quiero algo que funcione, que sea seguro y que no me estorbe«.

Casi nada. No he conseguido que calara el mensaje de la importancia de su participacion (los stakeholders, que les llaman) en todas las fases de la seguridad de la información: desde el diseño, hasta la puesta en producción. Justo cuando empezaba a vislumbrarse la importancia de la privacy by design, terminó el tiempo que tenía a mi disposición.

Todo el mundo se enfrascó en sus tareas y hasta la siguiente. Sólo algunos me confirmaron, en petit comité, que sólo se moverán cuando pase algo.

Me he quedado mucho más tranquilo.