Y realmente empieza a ser cierto que en muchas situaciones mandan los criterios de un ordenador que muestra un resultado o una decisión en una pantalla salvo que olvidamos o ignoramos que la máquina no toma decisiones, las tomó en su momento el desarrollador del código que programó esa aplicación para presentar esos resultados.
Como ya he comentado antes, estos meses ando liado con temas vinculados al Esquema Nacional de Seguridad y por ende la Administración electrónica. En estos momentos en los departamentos de TI de todas las Administraciones Públicas se andan cocinando proyectos que tienen por objetivo facilitar al ciudadano su relación con la Administración permitiendo interactuar telemáticamente con ella. Algo que ya vemos natural en el sector financiero es ahora un derecho establecido por la Ley 11/2007 que supuestamente debe suponer un impulso a la introducción de las tecnologías de la información en la Administración Pública.
Sinceramente debo ver este avance con cierta preocupación porque al menos por lo que voy encontrando a mi paso parece que ahora el derecho quedará definido por el código de programación de las aplicaciones con las que vayamos a tener que tramitar. Es cierto que los reales decretos de desarrollo de la Ley 11/2007 se han ido publicando de forma tardía pero ello no debiera justificar la ausencia de cumplimiento de todos ellos. Siempre hemos oído que el desconocimiento de la ley no exime de su cumplimiento. Sin embargo, parece que la Informática como tal, está por encima del bien o del mal y que puede obrar con libertad saltándose las restricciones que el mundo del derecho ha establecido mediante las regulaciones oportunas. De nada sirve que la legislación hable de cosas tan concretas como la firma electrónica, el expediente electrónico, regule cómo debe ser un documento electrónico para que sea considerado una copia auténtica de uno equivalente en papel, etc si no se le hace ningún caso. Y reflexionando al respecto creo que estas circunstancias se dan principalmente por cuatro factores:
- Las áreas TI y sobre todo, el mundo del desarrollo no incorpora siempre los requisitos legales establecidos porque ignora en muchos casos cual es la reglamentación que afecta a la aplicación en concreto que se está desarrollando. Es cierto que en estos años el número de leyes y reales decretos es abundante pero nuestra profesión, como las demás, no es ajena al cumplimiento de la ley. En el caso del ingeniero en informática además la cosa se agrava cuando es precisamente el que debe tomar las decisiones respecto a la implementación de programas que obviamente también deben garantizar ese cumplimento legal. En consultoría en materia de seguridad uno de nuestros ejes sobre el que orientar lo que se debe garantizar es el cumplimiento de la legislación respecto a la protección de información. Y el espectro de leyes que pisan ya muy seriamente al área TI no es pequeño. Por nombrar las más relevantes, tenemos al menos estas leyes y reales decretos que tener en mente en todo momento:
- Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
- Ley 59/2003, de 19 de diciembre, de firma electrónica.
- Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
- Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios público.
- Real Decreto 3/2010, de 8 de enero, por el se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
- En los equipos de desarrollo normalmente no participan áreas de perfil jurídico que puedan asesorar o apoyar al área de programación a entender o interpretar correctamente las regulaciones establecidas. Esta ausencia de criterios por parte de personal especializado se suple con la buena intención o hacer del personal técnico de desarrollo que "interpreta a su manera" lo que la ley expresa, siendo muchas veces una visión distorsionada o no ajustada al objeto de protección establecida por la legislación. A ello también contribuye bastante que la redacción de la legislación anteriormente nombrada es en muchos casos ambigua e imprecisa en las definiciones de términos o en la propia redacción permitiendo todo tipo de licencias a la hora de programar lo regulado. Es necesario que estos proyectos son multidisciplinares y al menos en las fases de diseño y análisis de requisitos es necesario la visión del ingeniero en informática que sabe lo que se puede programar, la del jurísta que entiende lo que la ley pretende salvaguardar y la del bibliotecónomo que conoce bien los entresijos de la gestión y organización de la información para hacer un uso eficiente de los datos. Todos con un objetivo único y común, hacer que la aplicación proporcione la funcionalidad deseada con la máxima eficiencia posible, el menos consumo de recursos y sobre todo y fundamentalmente, garantizando la seguridad jurídica de la gestión en base a la robustez de la implementación por el nivel de cumplimiento de las regulaciones del ámbito tecnológico.
- La gestión de proyectos TI cuando las decisiones técnicas se ven condicionadas por factores políticos son un lodazal que pringa a los buenos profesionales y donde ven a diario como son ignorados sus consejos o criterios. Para ejemplificar esta situación quiero recomendar leer el post Como el agua: ¿son las TICs una utility? de alguien que habla con conocimiento de causa y desde dentro de la casa.
- La ausencia de supervisión y verificación del cumplimiento mínimo de garantías. A nadie nos sorprende que el más vulgar electrodoméstico o producto deba superar unas pruebas mínimas que verifiquen la seguridad industrial del proceso de fabricación. Algo que exigimos a cualquier tipo de objeto ni por asomo se nos pasa por la cabeza que sea atribuible al mundo del software. ¿Y por qué no? Obviamente enlentecería el proceso de desarrollo pero ¿para que queremos hacer las cosas rápido si las hacemos mal y luego hay que rehacerlas y empezar de nuevo?
Y aunque el tono del post sea algo pesimista, quiero destacar que si hay gente que está haciendo las cosas bien, gente que piensa mucho primero, diseña y define lo que es necesario establecer, lo documenta y después se pone manos a la obra a poner ladrillo tras ladrillo hasta lograr el resultado final. El problema es que esos ejemplos son "poco conocidos" y su labor poco entendida. Es necesario tener completamente identificado cual es el problema a solucionar para poder resolverlo de forma correcta. Y como lo mejor siempre es un buen ejemplo, quiero referenciar el excelente trabajo de Nacho Alamillo en lo que denomina su "gestión documental segura" donde ha establecido un mapa conceptual con todas las piezas del puzzle que hay que resolver para poder hacer real que las aplicaciones efectivamente garanticen la seguridad jurídica establecida por las leyes. Tal como pinta en su Web, las elementos que hay que relacionar con cohexión y consistencia son los siguientes:
Nacho, creyente del modelo de licencia Creative Common, ha colgado su formalización de la política de gestión documental segura en este enlace y nos permite a todos consultar cada una de las piezas que forman parte de la complejidad regulatoria y técnica que hay que definir para tener un puzzle consistente y robusto, de forma que no quede ninguna duda de cumplimiento legal. Las piezas del puzle que toda solución de e-Administración debe implementar debe definir, documentar y resolver cuestiones de diferentes ámbitos y dominios, vinculados a la seguridad, a la criptografía, a la gestión documental, al derecho administrativo de forma que en su conjunto, todos los mecanismos proporcionen el cumplimiento legal y la garantía de que el trámite en soporte electrónico proporcionará un nivel de confianza similar al trámite en soporte papel.
Os animo a recorrer el mapa conceptual que he referenciado en el enlace y a leer las normas e instrucciones técnicas que lo componen. Y aquellos que leáis esto y estéis metidos en proyectos de e-Admin, hacedse la siguiente pregunta ¿Cuantas piezas del puzzle habéis identificado y definido?
Como he leído hoy en un blog, "“Si no puedes pagar el coste de hacer las cosas bien, espera a que te llegue la factura por hacerlas de forma mediocre”.
2 comentarios:
Muy buen post.
Yo soy tecnico programador, por lo que, al "estar el final" del proceso de realizacion de un software, pocas veces tengo que lidiar con la interpretación de la parte legal. Pero es verdad que es muy bueno saberlo e informarse sobre éstos temas.
Saludos!
Un gran post Javier. Estoy muy de acuerdo con tu visión. Efectivamente ¿si se trata de proyectos multidisciplinares por qué muchas veces se trata de dar una solución unívoca? Ojalá haya una "toma de conciencia" en este sentido. Sin duda post como este y personas como Nacho Alamillo contribuyen a ello.
Publicar un comentario