Publicado: 1 de marzo de 2025

Parchís o ajedrez

NIS2 (Network and Information Security Directive), la segunda versión de una directiva de seguridad europea que entró en vigor en enero de 2023 y que está en boca de todo el sector informático por las adaptaciones que las empresas afectadas tendrán que realizar para darle cumplimiento.

Las entidades afectadas, catalogadas como importantes y esenciales, deberán adoptar medidas técnicas, operativas y organizativas para gestionar los riesgos en materia de ciberseguridad a los que se puedan enfrentar.

Una visión sencilla a la par que detallada se puede consultar en: https://www.incibe.es/incibe-cert/sectores-estrategicos/NIS2-necesitas-saber

Con respecto a las medidas de seguridad propuestas nada que decir. Tampoco soy quién.

Mi reflexión es otra. ¿Dónde está el NIP: Netword and Information Privacy Directive?

Si la información es poder, ¿por qué solo protegemos el acceso no autorizado sin proteger también el acceso autorizado? Me parece que el concepto de “anestesiados”* aplica a esferas que, a priori, parecerían inimaginables.

Vamos a analizar esto brevemente.

En primer lugar, una vez más, es imperativo diferenciar los conceptos de seguridad y privacidad.

Para no discutir sobre definiciones personales he decidido buscarlas en un diccionario publicado en la red (La web del programador - Diccionario):

  • Seguridad informática: Seguridad informática, técnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a bases de datos por personas no autorizadas.
  • Privacidad: Es el derecho que tienen los individuos a controlar e incidir en la recopilación, almacenamiento y destino de sus propios datos personales.

Aunque la definición de privacidad el sentido general es ésta, personalmente suelo ofrecer una definición que me parece más fácil entender.

Privacidad digital: derecho fundamental que tiene cualquier individuo a decidir qué información comparte con quién.

Una vez postuladas las definiciones cabe aclarar, en consecuencia, que no hay posibilidad de tener privacidad si no tenemos seguridad. Si no podemos controlar el acceso a nuestros datos no podemos decidir con quién los compartimos. Esto normalmente lo entiende todo el mundo.

Sin embargo, el problema suele aparecer por omisión sobre el siguiente razonamiento igualmente importante. La mejor seguridad no garantiza la privacidad ya que la aceptación de condiciones de privacidad de muchos productos y servicios incluye la aceptación del acceso a la información por parte del proveedor, y en muchos casos su compartición con terceros innecesarios, para poder utilizar dicho producto o servicio.

Pongamos un ejemplo. Uno que afecta a la mayor parte de Europa para que podamos hablar de un caso real. El uso de sistemas operativos de Microsoft. ¿Qué dice la política de privacidad de Microsoft?

Aquí hay dos versiones. Si eres abogado especializado en privacidad digital (y no me refiero solo a la protección de datos), tienes conocimientos informáticos y bastante tiempo, tu opción es ésta: la web con la política de privacidad de Microsoft que cambia, aproximadamente, una vez al mes.

En junio de 2024 imprimí en pdf el texto completo en formato A4. Resultaron 215 páginas. Pero no te asustes, las 30 primeras son suficiente para concluir que las condiciones de privacidad de Microsoft arrasan por completo cualquier derecho a la privacidad digital que uno pueda imaginar. Casi incluido, por cierto, el derecho a solicitar los derechos expresados en el RGPD a Microsoft. Soy informático y ejerzo estos derechos con frecuencia con lo que conozco este tipo de trámites. Me llevó media hora, varias llamadas de teléfono en una de las cuáles tuve que anotar una url larga a mano según me la dictaba una locución para conseguir llegar a un formulario al que solo se puede acceder con una cuenta Microsoft, es decir, volviendo a aceptar la política de privacidad.

Cabe mencionar aquí que en un análisis preliminar que realicé sobre ésta política de privacidad busqué normativa relacionada y encontré, en los estatutos de la AEPD lo siguiente. Y pongo en negrita y color rojo lo que de manera especial afecta a la aplicación de estas condiciones de privacidad en las escuelas en referencia a los datos de los alumnos.

Artículo 5, punto 1: “Corresponde a la Agencia Española de Protección de Datos la función de supervisar la aplicación de la normativa vigente en materia de protección de datos personales con el fin de proteger los derechos y libertades de las personas físicas en lo que respecta al tratamientoy, en particular, ejercer las funciones establecidas en el artículo 57 y las potestades previstas en elartículo 58 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y en sus disposiciones de desarrollo.”

  • Artículo 58 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre: “El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.”

Artículo 5, punto 2: “Asimismo, le corresponde supervisar la aplicación de la normativa vigente en materia de garantía de los derechos digitales contemplados en los artículos 89 a 94 de la Ley Orgánica 3/2018, de 5 de diciembre.”

  • Artículo 92, Título X. Garantía de los derechos digitales., de la Ley Orgánica 3/2018, de 5 de diciembre: Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Y, aunque no esté dentro de los estatutos de la AEPD, me parece muy importante mencionar aquí, especialmente por la importancia que tienen los datos de nuestros niños y jóvenes, el artículo 83 de la misma ley:

Artículo 83, Título X. Garantía de los derechos digitales., de la Ley Orgánica 3/2018, de 5 de diciembre:

  • 1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un consumo responsable y un uso crítico y seguro de los medios digitales y respetuoso con la dignidad humana, la justicia social y la sostenibilidad medioambiental, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.
    Las Administraciones educativas deberán incluir en el desarrollo del currículo la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red.
  • 2. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.
  • 3. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.
  • 4. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos.

Debe ser que soy ciego y que de tanto querer ver vivo en un mundo imaginario compuesto de alucinaciones, pero al no tener otros ojos no puedo hablar más que de negligencia y falta de actuación.

Como decía unos párrafos más arriba, existe una segunda opción para abordar la política de privacidad de Microsoft. En el mundo existen multitud de comunidades de usuarios que son capaces de dos cosas maravillosas:

  • Realizar trabajos en pro de los derechos de la humanidad que, a veces, las instituciones son incapaces de llevar a cabo.
  • Hacerlo con una financiación irrisoria demostrando una eficiencia económica envidiable en cualquier ámbito empresarial.

En la página web del proyecto TOSDR (Terms Of Service Didn’t Read) podemos ver una resumen de las condiciones de privacidad de muchos productos y servicios. Por supuesto, entre ellas están las de Microsoft: https://tosdr.org/en/service/244.

Es importante tener en cuenta que la versión de las políticas de Microsoft analizada en esta web no es la última. Si alguien considera que habría que realizar de nuevo el proceso para hablar de la última versión puede hacerlo. Solo tiene que darse de alta en la web de TOSDR para colaborar, leer la última versión de la política de privacidad de Microsoft, proponer las modificaciones pertinentes en TOSDR y cuando acabe volver a la página de la política de privacidad de Micrsoft, que ya habrá vuelto a cambiar, y repetir en proceso. A esto se le llama bucle infinito. Si escribo este artículo es porque sé que existe una forma de evitar dicho bucle. Sigue leyendo.

Pongo aquí debajo directamente el contenido de la página referida para mayor claridad.

Quien quiera puede escribirme sobre las entradas que se muestra TOSDR sobre la política de privacidad de Microsoft, pero solo si podéis elegir una, solo una, como la más inadmisible. Lo siento, es la forma de no tener que estar pendiente del correo.

He de solicitar al lector, llegados a éste punto, que tenga en cuenta que solo estoy poniendo un ejemplo de los muchos que podría mencionar de una forma análoga: Apple, Google, Facebook, Whatsapp, Instagram, Twitter o X, etc.

Bueno, volvamos al principio una vez hecha la exposición de motivos. ¿Dónde está el NIP?

La seguridad es muy importante, nadie lo niega. Pero blindar una casa sin darse cuenta de que en el contrato pone que el “topo” está dentro y tiene el suelo cosido a base de túneles que conectan con el exterior, es un acto de ingenuidad, negligencia y estupidez que no nos podemos permitir en un momento donde la geopolítica vive episodios de gran incertidumbre. En otros tampoco, pero nunca hemos vivido antes una situación tan crítica como ésta.

Suelo representar este problema diciendo que, bajo mi punto de vista, parece que la Unión Europea está jugando al parchís cuando, en realidad, la partida es de ajedrez.

Lo más grave es que en Europa tenemos recursos digitales y proveedores propios más que suficientes para garantizar la prestación de los mismos servicios, la utilización de software con las mimas funciones, de una forma tan segura o más que con los productos que nos subyugan a los designios del poder de Estados Unidos y China. Se alimentaría la economía de la Unión Europea de una forma que solo puede significar riqueza, se dejaría de aportar grandes cantidades de dinero a multinacionales estadounidenses que apenas pagan impuestos en la Unión Europea, se aumentarían los puestos de trabajo dentro de nuestro territorio, etc.

Y, ¿os dais cuenta de los más importante?

Se actuaría defendiendo los derechos de los ciudadanos europeos, especialmente la de los niños y jóvenes de la Unión Europea o lo que es lo mismo, dando cumplimiento a una normativa que nadie tiene que escribir, porque ya existe.

Pero, ¿qué tienen nuestros políticos (en Europa en general) en sus manos? Smartphones de empresas estadounidenses, cargados de aplicaciones estadounidenses y chinas, que recopilan sus datos, los perfilan y les ofrecen información para manipularles igual que al resto. Estos sí que están anestesiados y confundidos.

En el infierno digital en el que vivimos bien valdría aplicar las mismas conclusiones que ya hemos encontrado en otros infiernos:

“El que va en busca de la verdad sin conocer el arte de encontrarla hace el viaje peor que en vano, porque si antes era ignorante, ahora está errado”. Dante Alighieri, La Divina Comedia.

Por cierto, seguramente estos políticos no conocen formas de usar su smartphone con garantías, como la que propone la fundación europea /e/ Foundation, que tiene interesantes respaldos científicos como el del siguiente artículo publicado por investigadores de la Universidad de Edimburgo y el Trinity College de Dublin, cuyas conclusiones rezan así:

We present an in-depth analysis of the data sent by the Samsung, Xiaomi, Huawei, Realme, LineageOS and /e/OS variants of Android. We find that, with the notable exception of e/OS, even when minimally configured and the handset is idle these vendor-customized Android variants transmit substantial amounts of information to the OS developer and also to third-parties (Google, Microsoft, LinkedIn, Facebook etc) that have pre-installed system apps. While occasional communication with OS servers is to be expected, the observed data transmission goes well beyond this and raises a number of privacy concerns.

Seguramente tampoco conocen proyectos europeos como Liberux donde son nuestros desarrolladores, europeos, quienes luchan sin apoyo institucional por devolver a Europa al tablero de juego donde de verdad se desarrolla la partida en curso.

Necesitamos políticos y responsables valientes en la administración que sean capaces de pulsar el botón OFF (https://www.offm.org/) para poder pulsar otro botón ON, el de la responsabilidad que deben demostrar.

Mientras tanto, seguiremos prestando ayuda a quien quiera migrar y ofreciendo canales de denuncia, a través de diferentes organizaciones, para reclamar nuestros derechos.

Termino con lo que es una muestra de que estas palabras se pueden poner en práctica. Sirva de muestra la lista de herramientas empleadas para realizar esta publicación:

*En referencia a Hidalgo, D. (2021). ANESTESIADOS La humanidad bajo el imperio de la tecnología. Los Libros de la Catarata. (https://www.diegohidalgo.net/anestesiados).

Volver arriba

Créditos de las imágenes tomadas del exterior: