Sin aspirantes al Cuerpo TIC, quién vigila los datos

Se acaban de convocar 800 plazas para el Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado, el llamado Cuerpo TIC del sector público. Y el secretario general de Administración Digital, Juan Jesús Torres, no sabe dónde encontrar candidatos. ¿Tal vez un taller de presentación en las universidades? Con lo recalentado que está el mercado informático, donde se pagan sueldos brutos medios del entorno de los 100.000 euros, a ver cómo logra el Estado presentar de modo sexi sus ofertas para funcionario. El mundo al revés.

Europa se halla inmersa en una profunda revisión del modelo de gestión de los datos, centro de la economía y la sociedad digital, por diversas razones que van desde la seguridad hasta la complicada atribución de su propiedad en el ámbito empresarial. De modo que sí, la cobertura de los puestos vacantes del Cuerpo TIC podría decirse que forma parte de una mucho más amplia cuestión de Estado.

No olvidemos que la custodia de los datos de acceso restringido de la Administración General del Estado seguía regulada, hasta hace muy poco, por una Ley de Seguridad Nacional de 1962. Exigía, entre otras cosas, ubicar un guardia en los accesos a las instalaciones donde se archiva la información más delicada de nuestro país, para controlar quién entra y sale y qué lleva en las manos. Los ataques a centros de salud, hospitales y hasta al Servicio Público de Empleo han convertido esa anécdota en un doloroso anacronismo.

El sector público se ha puesto en manos del privado, mucho más avanzado y ágil tecnológicamente, la gestión de los datos, y esa dependencia no dejará de crecer en el futuro. El monumental archivo de la Real Academia de la Lengua se custodia de la mano de Telefónica, pronto con un accionista mayoritario saudí.

La Administración General del Estado y las autonómicas trabajan con todos los gigantes con infraestructura de almacenamiento en la nube. Y la información discurre por centralitas públicas fabricadas en Europa que llevaban de serie… Pegasus, imagino que se habrán acordado de desconectarlo.

En los despachos del Estado han ido entrando nuevos actores las dos últimas décadas. Ya no vivimos los tiempos en los que Telefónica (fundada por la norteamericana ITT en los años 20), y su extinto grupo industrial, eran y actuaban como la empresa estatal de las telecomunicaciones. Incluso ha sucedido que, con el despliegue de redes y plataformas de software vinculadas 5G, por primera vez se ha abierto la puerta a competidores de la operadora que todavía preside José María Álvarez Pallete en áreas como la Defensa y las Fuerzas de Seguridad.

Pero la presencia de actores privados es ya lo de menos. La perspectiva es que la gestión de la seguridad de la información acabe sobrepasando las barreras territoriales, que escape de la soberanía de los estados y se tenga que diseñar una gobernanza europea. La decisión de los grupos parlamentarios nacionalistas de hablar en español en el Congreso, después de haber solicitado traductores, sería una inesperada viñeta de cómic sobre lo que sucederá en el mundo IT.

Con motivo de la revisión de la actividad de la Agencia de Ciberseguridad de la Unión Europea (ENISA), la influyente asociación DigitalEurope acaba de publicar un documento en el que afirma, debido a la nueva regulación, incluida la nueva NIS2 y la Ley de Resiliencia Cibernética, ampliar su mandato “presenta varios desafíos, incluida la competencia predominante de los Estados miembros en cuestiones de seguridad nacional, la diversidad de marcos legales y de experiencia entre los Estados miembros y las limitaciones en la asignación de recursos”.

Son divertidamente terroríficos los relatos acerca de las vías que utilizan los ciberdelincuentes para atacar una empresa, desde el dispensador de pienso conectado a la red de la pecera de un hotel hasta el asistente despistado de un alto directivo de una empresa proveedora de Defensa de Estados Unidos. Se puede hacer una analogía similar a nivel de Estados: si vamos a compartir servicios, tendremos que compartir ciberseguridad.

El mínimo a partir del cual construir algo parecido a la soberanía tecnológica, se comparta después o no con los socios europeos, es asegurarse el control de la información del Estado. El listado de proyectos de construcción de data centers en nuestro país es impresionante, un oligopolio que obliga a definir las líneas del servicio público desde el punto de vista estratégico.

El problema es que el uso de datos a menudo no está claramente regulado por la ley. El Ministerio Federal de Economía y Energía de Alemania ha puesto en marcha el programa tecnológico Smart Service World I para analizar con detenimiento un asunto lleno de aristas, especialmente en el ámbito empresarial, porque a nivel individual ha quedado relativamente acotado con el Reglamento General de Protección de Datos europeo.

Pensemos en una máquina de un fabricante adquirida por una empresa que, en su actividad, genera datos. Le sirven para comunicarse con otras máquinas de otros fabricantes en la misma empresa y se recopilan en la nube de un proveedor externo, digamos que Amazon Web Services, que ofrece a la empresa un servicio digital consistente en analizarlos a fondo y extraer indicaciones para optimizar la producción. Puede dar la alerta al operador de la máquina sobre la necesidad de adelantar el mantenimiento o sobre posibles ineficiencias. ¿De quién es la propiedad de los datos?

En este caso, lo normal es que sean de la empresa que ha comprado la máquina, mientras que el proveedor del servicio en la nube sólo es responsable de su tratamiento (salvo que viajen a otro país, quizás a un servidor ubicado en Estados Unidos, donde la regulación es distinta). Sin embargo, para el fabricante de máquinas podría ser de enorme utilidad disponer de la información recopilada y de los resultados del análisis, porque así podría mejorar su rendimiento en el futuro y beneficiar a todos sus clientes por igual.

No es tan sencillo convertir a los datos en materia prima legalmente accesible para diversos actores con intereses legítimos en ellos. Es una diferencia sustancial que introduce la revolución digital respecto de los medios materiales de producción, que se compran y se consumen mediante el uso. Las empresas dedicadas a introducir el internet de las cosas en nuestras industrias lo saben bien.

Para eliminar esas ambigüedades legales en términos de propiedad y derechos de uso, hay dos opciones: o se crea un marco legal claro o las condiciones se regulan mediante contratos, que suelen crear ventajas para los socios contractuales más fuertes, como las grandes empresas. El responsable del Smart Service World I alemán, Uwe Seidel, es partidario de aprobar una ley de derechos de autor auxiliar, que regule de manera uniforme la cuestión de la soberanía de los datos y contratos estándar a disposición de empresas y usuarios.

Y el tema va a más. Tres expertos de la Fundación Mozilla acaban de analizar 25 marcas automovilísticas en términos de seguridad y de privacidad y, en todos los casos, han suspendido. Los coches recopilan más datos de nosotros que los propios móviles, desde información médica, a genética e incluso sexual. Por supuesto informan sobre nuestra manera de conducir, nuestros gustos estéticos y musicales y los rasgos de nuestro carácter. Captan más datos de los que deberían y en el 84% de los casos contemplan la posibilidad de compartirlos.

No hay que restar importancia, por tanto, a las dificultades de la Administración para cubrir las plazas vacantes de su Cuerpo TIC. Estamos en un momento de consolidación tecnológica, vamos hacia un nuevo modelo de servicio público y hacia una nueva forma de gestionar la información entre las empresas. Un tiempo de decisiones estratégicas para no vivir de las rentas digitales.