La formación a los usuarios: el último bastión de la seguridad y ¿como causa de exoneración de responsabilidad?
Nieves Chaveli Donet
“Aprender es como remar contra corriente: en cuanto se deja, se retrocede”
Benjamin Britten
Introducción
El presente artículo pretende tratar algunos aspectos relativos a la capacitación y formación de los empleados en materia de privacidad y seguridad de la información, tanto desde el punto de vista de la normativa vigente como de los estándares de calidad.
Para ello se analizan la legislación y normas vigentes. Asimismo de todos es sabido que se ha llegado a un principio de acuerdo sobre el Reglamento General de Protección de Datos de la Unión Europea, el cual, previsiblemente, verá la luz en primavera de 2016. La regulación que tiene previsto introducir el mismo será de aplicación directa en nuestro país. Por ello también será objeto de análisis.
Además se realizan algunas consideraciones relacionadas con el posible efecto que, en protección de datos, puede tener la formación, como uno de los elementos que ayuden a contribuir a integrar la falta de culpabilidad de la organización y que un hecho antijurídico no sea culpable.
Es importante aclarar que nos referimos a la formación de los usuarios de los sistemas de información y no a los responsables en relación con el cumplimiento de sus tareas; aspecto que también requiere de formación pero de forma bastante distinta a la de los usuarios.
Real Decreto 1720/2007 (Reglamento de desarrollo de la Ley Orgánica 15/1999)
El artículo 89 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD), señala que “El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”
Como vemos el RDLOPD no hace referencia directa a la formación, sino a que el responsable deberá asegurar que el personal conozca las normas de seguridad que les afectan, sin señalar los medios por los que puede llegar a ello. Es decir, el responsable podrá optar por diferentes vías para conseguir dicho objetivo. Por ejemplo:
- Hacer firmar a los usuarios un alta o credencial. Se trata de un documento en el que se relacionan todas las medidas de seguridad a tener en cuenta en el desempeño de sus funciones y tareas. También es costumbre indicar en el mismo el régimen disciplinario asociado al incumplimiento de tales medidas. Aunque ese aspecto, al igual que la cada vez mayor referencia en los convenios a las infracciones en materia de privacidad, es un aspecto que excede el alcance de este artículo.
- Realizar una charla de concienciación o sensibilización. Consiste en realizar una charla en la que se expone la relación de normas de seguridad implementadas por la organización, concienciando y sensibilizando sobre la confidencialidad y seguridad en el tratamiento de datos personales.
- Desarrollo de un curso de formación. Se trata de una acción formativa sobre protección de datos, para que el personal (usuarios) sea más conocedor de la normativa. Asimismo estos cursos admiten diversas modalidades: Presencial y on line.
Real Decreto 3/2010, Esquema Nacional de Seguridad
El artículo 14 del Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, señala “1. Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos“.
En el punto 5 del anexo II “Medidas de seguridad” , se regula la gestión del personal y dentro del mismo, trata la formación del personal, en los siguientes términos: “Se formará regularmente al personal en aquellas materias que requieran para el desempeño de sus funciones, en particular en lo relativo a: a) Configuración de sistemas. b) Detección y reacción a incidentes. c) Gestión de la información en cualquier soporte en el que se encuentre. Se cubrirán al menos las siguientes actividades: almacenamiento, transferencia, copias, distribución y destrucción”.
Lo que constituye una novedad, en este caso, es el hecho de encontrar una mención expresa de la obligación de formar al personal. El ENS determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. Su fin último deberá ser la obtención de garantías de que todo el personal, al que se hayan asignado responsabilidades definidas en el Sistema de Gestión, sea competente para llevar a cabo las tareas requeridas. Así mismo, se debería potenciar la concienciación de la trascendencia de las actividades de seguridad de la información.
Las mismas consideraciones que hemos realizado respecto de la formación, en materia de privacidad, podríamos trasladarlas a la formación en relación con el Esquema Nacional de Seguridad.
Obviamente, dado que el cumplimiento del Esquema Nacional de Seguridad exige también cumplir con las obligaciones en materia de protección de datos, y, dado que las normas de uso de los sistemas de información deben de estar integradas, también es lógico que la formación de ambos marcos normativos esté integrada en cuanto al contenido y en cuanto a su organización.
ISO 27001
La ISO 27001 es un estándar internacional que proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI o ISMS equivalente en inglés). En su cláusula 5 “Responsabilidades de la gerencia”, trata la capacitación, conocimiento y capacidad del personal:
“La organización debe asegurarse que todo el personal a quien se asignó responsabilidades definidas en el SGSI sea competente para realizar las tareas para:
- determinar las capacidades necesarias para el personal que realiza trabajo que afecta al SGSI;
- proporcionar la capacitación o realizar otras acciones (por ejemplo, emplear al personal competente) para satisfacer esas necesidades;
- evaluar la efectividad de las acciones tomadas;
- mantener registro de educación, capacitación, capacidades, experiencias y calificaciones.
La organización debe asegurarse que todo el personal relevante esté consciente de la relevancia e importancia de sus actividades de seguridad de la información y cómo ellos pueden contribuir al logro de los objetivos de SGSI. Para ello implementará programas de capacitación y conocimiento.”
Los requerimientos que establece este estándar internacional son genéricos y están diseñados para ser aplicables a todas las organizaciones, sin importar el tipo, tamaño o naturaleza de las mismas. La norma se refiere, en su generalidad, al concepto de capacitación, la cual implica obviamente, un periodo formativo.
En conclusión, una organización que adopte este estándar, el cual está en línea con las ISO`s 9001 y 14001, deberá emplear personal con cualificación suficiente y conocimientos actualizados en materia de seguridad de la información.
Borrador de Reglamento General de Protección de Datos de la Unión Europea (RGPDUE) 
En relación con la formación en materia de privacidad, el artículo 37 enumera las tareas del delegado de protección de datos, entre las que recoge:
“b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; “
Como vemos, el RGPDUE considera tarea del Delegado de Protección de Datos (DPO) la formación del personal que trata datos personales. Esta nueva figura es introducida y regulada por dicho Reglamento. En aquellas organizaciones que no dispongan de un DPO, por no estar obligadas a ello, esta tarea recaerá sobre el responsable de seguridad. Obviamente estas tareas también pueden ser encomendadas a algún externo.
¿La formación de los usuarios como causa de exoneración de responsabilidad por falta de culpabilidad?
Son muchos los ejemplos en los que se sanciona a organizaciones por incumplir son sus obligaciones y, en algunos casos, es por falta de respeto por parte de sus usuarios de las funciones y obligaciones. Ello suele conllevar infracciones del principio de seguridad y del deber de secreto.
Pero no es menos cierto que, entre estas infracciones, algunas son porque las organizaciones no han puesto las medidas técnicas y organizativas (entre las que se incluye la formación a los usuarios) y otras porque, a pesar de haberlas puesto los usuarios, no han hecho caso a estas.
En uno u otro caso el hecho será igualmente antijurídico. Pero recordemos que, para que un hecho sea sancionable, además de antijurídico ha de ser culpable y he aquí donde la empresa podrá justificar que ha hecho formación para demostrar, juntamente con otras evidencias, que el hecho no es culpable.
Para ello hagamos una pequeño esbozo del principio de culpabilidad y como ha “entrado” este en el procedimiento sancionador.
El principio de culpabilidad previsto supone que solo pueden ser sancionados, por hechos constitutivos de infracción administrativa, los responsables de los mismos, aún a título de simple inobservancia.
Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, que está proscrita, después de la STC 76/1990, que señaló que los principios del ámbito del derecho penal son aplicables, con ciertos matices, en el ámbito administrativo sancionador, requiriéndose la existencia de dolo o culpa.
En esta línea la STC 246/1991, de 19 de diciembre, señaló que la culpabilidad constituye un principio estructural básico del Derecho administrativo sancionador. Por eso, como señala la STS de 18 marzo 2005, recurso 7707/2000, es evidente, “que no podría estimarse cometida una infracción administrativa, si no concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta típicamente constitutiva de infracción administrativa, no fuera imputable a dolo o a culpa”.
Durante mucho tiempo parece que la AEPD había vivido un poco “ajena” a esta Doctrina, que fue enmendada por la Audiencia Nacional a partir de sentencias históricas como la Sentencia de la AN de 25/02/2010 (caso Portal Latino), Sentencia de la AN de 29/04/2010 (Caso Vodafone), Sentencia de la AN de 29/04/2010 (Caso Eurocrédito), Sentencia de la AN 19/10/2010 (Caso Santander Consumer Finance) o Sentencia de la AN de 10/02/2011 (Caso Teabla Comunicaciones) por citar sólo algunas que después se han consolidado en muchas otras y que la Agencia empezó a aplicar.
A modo de conclusión
- La nota común en las normas y estándares expuestos tiende a la implementación de un sistema de gestión de la seguridad de la información. Un sistema que debe garantizar que los riesgos son conocidos, gestionados, documentados y posteriormente minimizados, en la medida de lo posible. Cada organización deberá adaptarse a los cambios que se operen en el entorno, a los riesgos que se planteen y a las novedades que introduzcan las nuevas tecnologías.
- Entendiendo que un nivel de protección total es casi imposible, independientemente del presupuesto disponible, concluiremos que la dimensión que adquiere el factor humano es fundamental. Y es aquí donde el efecto de la acción formativa cobra relevancia, en su doble vertiente: la capacitación y la concienciación.
- Por paradójico que resulte en plena era tecnológica, y como demuestra la realidad, el último bastión en temas de seguridad sigue siendo el mismo que en otras épocas: la persona.
- Y las organizaciones, por tanto, deben de potenciar la formación de sus usuarios para asegurar la información y evitar que sucedan problemas de seguridad y posibles actos antijurídicos. Y, si finalmente, suceden estos … que al menos no exista responsabilidad por no existir culpabilidad por parte de la organización.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
