Ya sabemos que no estamos contando nada nuevo si os decimos que a INTECO le han robado datos de, aproximadamente, 20.000 usuarios. Y tampoco es muy novedoso que la Agencia Española de Protección de Datos investigue, de oficio, incidentes de este tipo para determinar si existió o no vulneración de la normativa en materia de protección de datos (nota informativa de la Agencia en pdf).
¿Que para qué es esta entrada entonces? Muy sencillo: Para advertir frente a la valoración ex-post de los incidentes. Este tipo de valoraciones son muy habituales en entornos como, por ejemplo, el de riesgos laborales y consisten en considerar que, dado que se ha producido un incidente, las medidas de seguridad existentes eran inapropiadas y sancionar a la compañía por dicho incumplimiento de la legislación vigente (vamos, que las autoridades de Nueva York habrían sido consideradas culpables por no haber previsto los ataques del 11-S y haber establecido un campo de fuerza alrededor de las torres gemelas que evitaran que un avión se estrellara contra ellas) . Y todo, sin considerar las circunstancias en el momento del accidente ni las condiciones previas al mismo lo que supone, a nuestro entender, una perversión del razonamiento lógico.
Todos los profesionales que nos dedicamos a este mundo sabemos que la seguridad 100% no existe y que, por muchas medidas que pongas, siempre existe la posibilidad de que una amenaza se materialice porque no puedes eliminar el riesgo a un coste razonable. Por tanto, no se puede inferir de la ocurrencia de un incidente que las medidas implantadas no fueran las correctas o necesarias dada la situación previa al incidente y las prácticas generalmente aceptadas. Habrá que realizar un análisis de la situación previa al momento del incidente y valorar las medidas en su contexto.
Este tipo de razonamientos son especialmente importantes en estos momentos en los que nos encontramos ante una modificación del código penal donde un juez va a tener que valorar si antes de un suceso existía un entorno de control «razonable» y, por otra parte, existe previsión de modificaciones en las directivas europeas correspondientes que van a exigir la notificación de este tipo de incidentes.
Esperamos y confiamos en el buen saber y entender de los jueces para evitar caer en la tentación de valorar los incidentes ex-post y, en su lugar, tomar en consideración cual era la realidad en los momentos previos al incidente y realizar un valoración justa de los hechos. Sino fuera así, nos espera un futuro muy difícil.
Síguenos en twitter.com/enplusone