"Los hackeos se van a producir, se trata de que la información expuesta sea la mínima"

Funcionaria del Cuerpo Superior de Administradores del Principado de Asturias desde 1999, Candelaria Pereira Ruiz trabajaba como inspectora de la Agencia de Protección de Datos en Madrid cuando recibió la llamada del equipo de Carmen Moriyón para incorporarse al Ayuntamiento de Gijón. Se pasó para decir que no, pero cambió de idea al ver el reto que se le proponía. Desde octubre es la responsable de la Dirección General de Protección de Datos y Coordinación de Sistemas de Información y Comunicación. Un área más que novedosa dentro de las administraciones públicas y, sobre todo, de los ayuntamientos.

–Para que lo entendamos los de la EGB, ¿qué hace su dirección general?

–Proteger los datos de las personas. Los datos personales son un derecho protegido constitucionalmente al que se debe dar la relevancia que tiene. Igual que no se puede entrar en la casa de nadie sin autorización, no se pueden usan los datos de la gente con alegría. Es decir, sin tener su consentimiento, sin tener una habilitación legal... Son unas bases de legitimación estrictas que establece la ley y están totalmente tasadas.

–¿Cuál es la obligación de un Ayuntamiento en ese marco?

–Obligatorio para todas las administraciones públicas es tener un delegado de protección de datos. El problema es que muchas hacen esos nombramientos solo para cubrir el papel y no hay una figura que se dedique a cumplir las funciones que tiene que hacer, y que también están tasadas legalmente. Yo también soy la delegada de protección de datos del Ayuntamiento, pero lo que me pareció interesante fue esa apuesta por una dirección general. Estamos empezando a hacer las funciones que requiere la ley y eso supone que estamos mirando que los datos tengan las medidas de protección adecuadas y que tratamos los datos necesarios y no más. No ser riguroso con la normativa se nota cuanto tienes un problema serio. Por ejemplo, una suplantación de identidad, que se están haciendo con una simple fotocopia del DNI. Hay un sinfín de expedientes disciplinarios abiertos por la Agencia de Protección de Datos por ello.

–¿Qué toca hacer ahora en este Ayuntamiento?

–Ahora mismo estamos centrados en el proceso de certificar los sistemas de información del Ayuntamiento de conformidad con el Esquema Nacional de Seguridad. Es obligatorio que todos los sistemas que guardan datos personales tengan un nivel de seguridad adecuado, pero las administraciones tenemos unos parámetros con los que compararnos y eso es el Esquema Nacional de Seguridad. Se trata de llevar nuestros sistemas a esos niveles de seguridad que se exigen, esperamos tenerlos certificados en junio.

–No es poca responsabilidad para quien maneja todos los datos de todos los gijoneses.

–Todas las administraciones públicas manejan un nivel de datos increíble. Y de todo tipo. Un simple campamento infantil puede implicar un tratamiento de carácter especial si hay una alergia alimentaria porque los datos de salud tienen esa categoría especial. O podemos pensar en las bases de datos de las mujeres víctimas de violencia, o en las de huellas y antecedentes que guarda la Policía. En el nuevo edificio de la Policía Local estará el nuevo centro de proceso de datos (CPD). Todos los datos del Ayuntamiento van a estar guardado allí. Es un centro puntero con una capacidad de almacenamiento muy alta y unas medidas de seguridad extraordinarias, incluido el acceso por huella dactilar. Ya está finalizado, solo falta enchufarlo y ver cómo funciona; será en marzo.

–¿Cómo se combina la protección de datos con la obligación de transparencia? En la web municipal se pueden ver los bienes de los concejales, los traslados de los funcionarios o los vecinos que optan a una bolsa de empleo.

–Hay distintos tipos de publicaciones. Unos que fijan las normas de transparencia para, por ejemplo, datos de interés para evitar la corrupción y donde están esas declaraciones de bienes para ver que el nivel de enriquecimiento de una persona que accede a un cargo público no se modifica sustancialmente. Y otras que no tienen que ver con la transparencia sino con el cumplimiento de las leyes en cuanto, por ejemplo, a procesos de concurrencia competitiva donde se deben garantizar derechos de terceros. Pasa con los procesos que afectan a funcionarios, con las subvenciones, con la contratación pública. Y en cuanto al acceso a expedientes, depende de si el expediente está vivo o finalizado. Si está vivo solo pueden acceder personas interesadas. El conflicto llega cuando está finalizado. ¿Qué hacemos? Lo normal es anonimizar los datos personales que se incluyen y solo si se justifica fehacientemente que es esencial conocerlos podemos darlos. Si quien lo pide y la Administración no estamos de acuerdo hay un consejo que decide qué derecho prima.

–Gijón algo sabe de problemas de seguridad informática con el hackeo que bloqueó el Ayuntamiento durante muchas semanas. ¿Al final fueron los rusos?

–Todo eso es confidencial. Yo no estaba aquí, pero sé que hubo un gabinete de crisis y que se hizo un informe donde se sabe perfectamente cómo entraron. A partir de ahí, lo que hizo el Ayuntamiento fue licitar un sistema para tratar de cubrir las necesidades que se vio que estaban descubiertas, para conseguir unas medidas de seguridad adecuadas. En ese proceso estamos y de una de las patas de ese proceso forma parte la certificación con el Esquema Nacional de Seguridad.

–Cuando acaben de implementar las nuevas medidas los hackers ya sabrán como saltárselas.

–Tenemos que ser conscientes de que los ataques se van a producir siempre. Es imposible que no haya un ataque, lo que se hace con estas medidas de seguridad es segmentar para que la información expuesta sea la mínima posible. Hay muchas acciones que se pueden hacer. Se puede hacer un seguimiento de redes, se puede poner en marcha una monitorización de tal forma que las alarmas salten cuando se detecte una situación anómala... A partir de ahí toca el factor humano y tenemos que venir a desenchufar los sistemas. No es fácil implementar todas esas medidas en una Administración. Sería fácil si se pudiera apagar todo, construirlo todo de cero y poner las medidas adecuadas, pero nosotros tenemos que dar un servicio a los ciudadanos.

–¿Qué le pasa al Ayuntamiento si falla en la protección de los datos de un vecino?

–La responsabilidad es ante la Agencia Española de Protección de Datos y lo normal es que haya un procedimiento sancionador.

–¿No se compensa al vecino afectado?

–En principio respondemos de la brecha ante la agencia. ¿Qué sucede si hay una demanda penal y piden una responsabilidad civil subsidiaria? Entonces estamos hablando de otra cosa.

–Miremos a la web del Ayuntamiento. ¿Planes para renovarla?

–Es muy complicado hacer una página web de un Ayuntamiento porque tiene tantos servicios que cuando tú accedes a buscar el tuyo a lo mejor no lo encuentras. La priorización de lo que aparece o no aparece no depende de lo que vaya a buscar cada persona, depende, por ejemplo, de los usos de cada servicio. Estamos en proceso de cambio y acabamos de tener para ello una reunión con el equipo de comunicación del Ayuntamiento que lidera lo que tiene que ver con imagen institucional. La tendencia con las webs es que cada vez sean más sencillas y permitan búsquedas buenas dentro de la propia página. Se trata de encontrar lo que se busca.

–¿Se ampliarán trámites en la sede electrónica?

–Sí, se van a hacer cambios, pero la prioridad antes de acometer ninguno es la seguridad. Cuando la Alcaldesa decidió crear esta dirección general era porque estaba muy preocupada por la seguridad tras un hackeo que paralizó el Ayuntamiento dos meses. Ella entendió, con muy buen criterio, que eso no se puede volver a producir.

–Hay consecuencias que aún persisten como la falta de la red de wifi pública.

–Muy próximamente va a funcionar en bibliotecas y centros de estudio. Y en los presupuestos va la licitación de un nuevo contrato.

Suscríbete para seguir leyendo