Los compañeros de Privacidad 2.0 ya han analizado con atino algunos aspectos del Decreto 130/2012, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat, así que, para los interesados, les dejo el link aquí.

Yo, simplemente, me limitaré a resaltar un aspecto que me ha llamado poderosamente la atención y que sólo marginalmente tiene que ver con la seguridad de la información. Gracias al mencionado Decreto, mucho me temo que la seguridad de la información, en la Generalitat, será un poco como el camarote de los Hermanos Marx (vídeo aquí).

Por partes. El gran excluído de esta regulación es el sector público de la salud. Por lo visto (y con razón) «dada la especialidad de la regulación de la información de que disponen, se ha considerado oportuno que su organización en materia de seguridad de la información se apruebe mediante un instrumento normativo específico» (Preámbulo, 3º apartado).

Si descontamos a los responsables de la organización de la Salud Pública, todo el resto de la Generalitat estará implicado en la seguridad de la información. Ahora, miremos a la organización e imaginemos cuánto de grande tiene que ser la mesa de reuniones, para que quepan todos estos señores.

Para empezar, tenemos al Responsable de la Información. Con buen criterio, no se designa a tal responsable en una sola persona física, sino a todos los miembros de la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana. Ignoro cuántos miembros componen esta Comisión, pero yo tendría listas por lo menos 3 sillas.

Después, tenemos al Comité de Seguridad de la Información, cuya composición, gracias al art. 8 del Decreto, tenemos bastante clara: un presidente, un vicepresidente, 8 Vocales y un Secretario. Lo curioso es que el 8º Vocal es, nada menos que el «Responsable de los Ficheros de Datos de Carácter Personal de la Consellería con competencias en sanidad«. Pero ¿no habíamos quedado en que este sector se regularía a parte? Quizás este responsable estará en este Comité para aprender y aplicar las buenas prácticas en su propio ámbito de actuación.

Así que ya tenemos a 3 más 11 personas. Y sumando.

No iba a faltar a esta organización el Responsable de los Ficheros de Datos de Carácter Personal (art. 9). Contrariamente a lo que dice esa ley tan olvidada como la LOPD (art. 3.d), éste no es otro que el titular del órgano al que correspondan las funciones establecidas en el art. 69 de la Ley del Consell en cada Conselleria y, eventualmente, de cada órgano de carácter directivo que tenga atribuídas las competencias sobre los servicios comunes de cada entidad autónoma. No me voy a poner a contar las entidades autónomas actualmente existentes en la Generalitat, pero sí sé que hay 10 Consellerías, así que, como mínimo, 10 sillas más. Y llegamos a 24.

Por cierto, de paso, habrá que aclarar qué hacer cuando se cambie el titular del órgano, es decir, el Responsable del Fichero. ¿Tendremos que comunicarlo a la Agencia, a través de nuestro estimado «NOTA«?

Sumamos también al Responsable de Servicio, figura regulada en el art. 73.2, de la Ley del Consell; es decir, alguien de la Secretaría General Adminstrativa, uno por cada (actualmente) 10 Consellerías. Suma: 34 personas.

También estará en esta organización de la seguridad de la información el Responsable de la Seguridad de la Información (faltaría más), que es la «persona titular del Servicio competente en materia de seguridad informática de la Dirección General con competencias en materia de tecnologías de la información» (art. 11.1). Y van 35.

No puede faltar el Responsable de Seguridad de los Ficheros de Datos de Carácter Personal (art. 12), cuya figura, a mí humilde juicio, es la mejor definida. De hecho, ¡¡¡es la misma que el Responsable de Seguridad de la Información!!! Que sí, que lo es; de hecho se designa (como el otro) a la «persona titular del órgano al que correspondan las funciones establecidas en el art. 73.2 de la Ley del Consell» (art. 12.2). Ver para creer.

Ahora sí que tengo una duda. Estos dos últimos responsables, al ser la misma persona, ¿ocuparán dos sillas? Por si acaso, yo prepararía otras 10 (una por cada Dirección General). Y llegamos a 45. Seguimos para bingo.

No podía faltar en esta organización el Responsable de Sistema, es decir, a la persona titular de la Subdirección General competente en materia de infraestructuras de tecnología de la información. Somos 46, esperando que este responsable no haga uso de la facultad de delegar, prevista en el art. 13.4. Dios quiera que no, que no tenemos muchas más sillas.

Por cierto, una de las funciones (art. 13.3.b) es la de «implantar las medidas para garantizar la seguridad informática de los sistemas de información»; ojo al dato.

También estarán los Administradores de la Seguridad del Sistema (art. 14). Aquí el número es variable, ya que serán designados «a funcionarios que serán nombrados, por resolución administrativa, a propuesta del Responsable de Seguridad» (art. 14.2). Soy de Letras, así que espero me perdonen si sumo 46+n, donde «n» es el conjunto de estos Administradores.

Ah, ¿y qué hacen éstos? Pues, lo mismo que los Responsables de Sistema. Si no me creen, comparen el texto del art. 14.3.a, con el del art. 13.3.b. Lo mismo, ¿no?

Al final de la cadena de esta organización están los comunemente llamados «machacas», es decir, los Administradores de la Seguridad de los Ficheros de Datos de Carácter Personal (art. 15.1). ¿Cuántos son? Pues, ni idea, así que 46+n+m («m»de machaca). Y ¿qué hacen? Pues, éstos sí que lo tienen claro:

  • mantener el documento de seguridad en todo momento actualizado y adecuado a las disposiciones vigentes;
  • ejercer las funciones de control y autorizaciones (me imagino de los «perfiles de usuarios»);
  • gestionar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición;
  • tramitar la publicación de la creación (ojo, sólo la creación, no se dice nada de la modificación o supresión) de los ficheros, ante la Agencia Española de Protección de Datos.
  • más tareas propias de un Responsable de Seguridad, tal y como lo entendemos los que nos dedicamos, con más o menos suerte, a la protección de datos.
Por último, por favor, quédense con otro término, que seguramente ayudará mucho a quedar bien entre los colegas de la LOPD. Entre las definiciones, destaca la «Categoría de un sistema», que es: «es un nivel, dentro de la escala Básica-Media-Alta (¡¡¡olé tus güevos!!!), con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo».
La traca final: «La categoría recoge la visión holística del conjunto de activos como un todo armónico,
orientado a la prestación de unos servicios».
Si no eres holístico, no eres nadie.