Entrevista a Ignacio Carrasco, secretario general de Eurocloud España
Interempresas Seguridad ha entrevistado a Ignacio Carrasco, secretario general de Eurocloud España y secretario general de Aecra, para conocer su punto de vista sobre algunas cuestiones concretas de seguridad. La Asociación Empresarial Europea EuroCloud agrupa empresas que ofrecen servicios en tecnología SaaS y Soluciones Cloud Computing, estableciendo un modelo pionero que dispone de la red más extensa de asociaciones en todos los países europeos. EuroCloud España es la representación de dicha asociación en nuestro país, constituida en 2010, y cuenta con una división de Profesionales del Cloud. Es miembro de Ceim-Ceoe y de Ametic.
¿Cree que las organizaciones y los ciudadanos conocen sus derechos y obligaciones en materia de protección de datos?
Respecto al concepto, entiendo que la pregunta se refiere a datos personales. Se confunde muchas veces datos de cualquier índole de aquellos de los estrictamente datos personales. Y también se confunde que es un dato personal, recordemos, solo aquellos que afectan a las personas físicas vivas, y que no tengan obligación de facilitar. Tenemos que tener en cuenta que en las sociedades occidentales la identidad es un elemento esencial en las relaciones, y no podemos obviar dicho principio. Después habrá que separar el destinatario de la pregunta:
- Para las organizaciones, si es AA.PP. debería de conocer ambas cosas. Y sin embargo la experiencia indica que no es así. Desde el punto de vista de facilitar cualquier dato, aun teniendo derecho a ello, son tremendamente remisas, aunque el registro sea de carácter público. Y si el peticionario es otra AA.PP. en ocasiones no se preguntan para que se demanda y se facilita con carácter general. O por el contrario, se niega el acceso cuando precisamente se debería otorgar.
- Para las empresas, tienen una percepción confusa. Solo lo perciben como una limitación a su actividad comercial si son B2C. O como una imposición de la Administración con resultado de sanción en caso de incumplimiento. Y no se lo plantean como un modo de mejorar su funcionamiento interno empresarial ya que obliga a implantar unas medidas y procedimientos que mejorarían el tratamiento del activo más importante de una empresa: su información
- Para los ciudadanos… está ahí. Somos tremendamente exigentes si nos llaman por teléfono a deshoras para una oferta comercial o recibimos una carta publicitaria, o vemos unas cámaras de videovigilancia. Y sin embargo no somos conscientes de los datos y autorizaciones que otorgamos cuando entramos a una red social, subimos a la red todo tipo de fotos y vídeos, firmamos sin rechistar, sin plantearnos, todo lo que nos ponen por delante en el banco, en la compañía de seguros, en el suministrador de energía o de agua, en el “súper”… y somos los primeros en pedir las imágenes si hemos sufrido una agresión, sin conocer que eso último, precisamente, no se puede hacer.
¿Considera que España está al mismo nivel que los países de nuestro entorno respecto a la protección de datos? ¿Siguen manteniendo la misma distancia los países anglosajones con respecto a España?
No tengo esa percepción en absoluto. Las leyes más estrictas precisamente están en Alemania, España y Argentina. Y sin embargo su nivel de cumplimiento no es el mismo. Nuestra Agencia tiene un prestigio una capacidad de acción muy superior a la media. Y sin embargo nuestros tribunales son tremendamente cicateros a la hora de conceder indemnizaciones por esta causa, ya que se basan en el daño efectivo (muy complejo e demostrar en la práctica para un ciudadano) y no el moral. No seré yo quien interprete esta situación más allá de la percepción que pueda tener.
¿Los organismos y personas que vulneran la normativa vigente sobre protección de datos, ¿a qué tipo de sanciones se exponen actualmente? ¿Se tiende a endurecer aún más estas sanciones?
Las sanciones administrativas están tasadas en la ley y en el Reglamento. No parece que se vayan a endurecer especialmente estas sanciones. Pero recordemos tres puntos: a) Las sanciones lo son a beneficio de la Agencia, su destino económico no es para el afectado; b) Las AAPP no pueden ser sancionadas económicamente; y c) Estas sanciones lo son por incumplimiento de la normativa y no en base al perjuicio causado. ¿Qué quedará del futuro Reglamento Europea, parado desde hace más de dos años? No lo sé. Aunque en el mismo se establece el principio de la proporcionalidad. Sanción en función del poder económico de la entidad. También con sus pros y sus contras.
¿Considera que el ámbito de la protección de datos está bien regulado normativamente en España? ¿En qué medida se podría mejorar?
En España, sobradamente. Pero es una obviedad que un aspecto como este, en la Unión Europea no podemos tener veintisiete diferentes legislaciones sobre el particular. Es precisamente el proyecto del antedicho reglamento europeo el que puede permitir una armonización legislativa, imprescindible para determinados sectores que trascienden fronteras, como es el de las Tecnologías de la Información.
¿En qué medida ha afectado la crisis económica en el sector de la seguridad? ¿Considera que la situación está mejorando?
La crisis afecta en ámbito transversal. A todo. El sector seguridad (seguridad de la información, que es el que conozco) ni más ni menos que al resto, aunque curiosamente suele ser un sector anti-cíclico. Respecto a la situación en general, está mejorando pero por dos factores diferentes. Primero una cierta recuperación económica, que está comenzando por las grandes corporaciones y afecta en cascada al resto. Y segundo, y no menos importante, por el incremento de la delincuencia cibernética y por el incremento de los ataques a los sistemas de información con objetivos muy complejos, desde robo de información a paralización o sabotaje.
