Dejaremos
aparte la discusión sobre si las leyes y reglamentos asociados
han sido acertados en su redacción (Dura lex, sed lex - Dura es
la ley, pero es la ley), confiando en que el futuro proporcione más
acercamiento al mundo real y no conduzca a la indiferencia y desentendimiento,
y nos centraremos en los problemas que encontramos en los proyectos de
TI a la hora de cumplir con la legislación vigente.
A años Internet quedó la sensación de ciudad
sin ley, y la evolución de la red quedó manifiesta
en la sucesión de preguntas e inquietudes: después del planteamiento
inicial (¿es posible?), y salvados los problemas de implantación
(¿funciona?), se pasó al ¿es seguro?, cuestión
hasta ahora resuelta en mayor o menor medida por los técnicos con
el comodín de las prácticas habituales.
En el siguiente interrogante entraron en escena los asesores legales:
¿cumple la ley? Si en el caso anterior era harto complicado contestar
de forma tajante, esta pregunta tampoco suele tener respuesta fácil,
y es posible que sea necesario el asesoramiento de expertos en legislación
para determinar qué ley, decreto o reglamento sería aplicable
a una situación concreta, o qué posibilidades tendrían
en un juicio las prácticas habituales desarrolladas
por los ingenieros.
Los textos legales incluyen cada vez más aspectos técnicos
de forma directa o indirecta, con lo que hacer que los calificativos seguro
y legal pasen de lo indeterminado a lo palpable implica la
coordinación de ingenieros y abogados.
Por desgracia, es habitual que en la práctica se cometan errores
de bulto, y que el diálogo entre técnicos y letrados no
sea tan fluido o ni siquiera se produzca, generándose vacíos
y/o asunciones que a la larga pueden ocasionar problemas. En el peor de
los casos se confirmarían los tópicos: al ingeniero le causan
indigestión los textos legales (Esto es para los abogados),
y al letrado le suenan a chino las especificaciones del sistema (Esto
son detalles técnicos).
En los escenarios de outsourcing la complejidad aumenta, hay que tener
en cuenta que existirán diversos diversos actores, cada uno de
los cuales contará con una especialización, saber hacer
e intereses bien diferenciados. Pongamos como ejemplo el típico
proyecto web con ánimo de lucro y tratamiento de datos
personales. Los jugadores serían los siguientes: 1) el cliente
que pretende montar el proyecto, 2) un proveedor de servicios de hosting
donde se albergará la aplicación web, y 3) el bufete de
abogados que proporciona asesoría legal al cliente.
|
Al contratar el servicio de alojamiento el proveedor le hace llegar el contrato,
el cliente lo envía inmediatamente a su asesor legal sin ningún
comentario adicional. Mal comienzo; dada la variedad de servicios especializados
en el área de Internet es difícil que sin más pistas
el asesor legal pueda determinar las responsabilidades concretas que debe
asumir el proveedor. Comienza la revisión del contrato, y el asesor
falto de información y para curarse en salud (propia
y de su cliente) propone cláusulas como El proveedor cumplirá
con la Legislación vigente y se obliga a mantener indemne al cliente
frente a cualquier reclamación que pueda serle interpuesta....
Después de varios cruces de propuestas de modificaciones y alguna
conversación telefónica o reunión aclaratoria el agua
volverá a su cauce. Los asesores legales conocerán el conjunto
de servicios que su cliente va a percibir y los ingenieros del proveedor
sabrán los requisitos técnicos que deberán implementar
para este caso concreto.
Con ese ir y venir de documentos, anexos, correcciones, correcciones a las
correcciones, y después de poner en contacto directo a la segunda
vuelta a proveedor y asesor, es posible que el cliente pierda el ánimo
en general, y el de lucro en particular, lo cual es malo para todos. También
es posible que en alguna fase del tira y afloja alguien ceda
en exceso consintiendo con cláusulas que van más allá
de sus responsabilidades y que proporcionan un efecto placebo a la otra
parte (contratante).
El caos aumenta si el modelo de outsourcing es más complejo, por
ejemplo, si adicionalmente entran en juego los siguientes actores: 1) una
empresa encargada del desarrollo y mantenimiento de la aplicación
web, y 2) una compañía que gestionará la aplicación
(altas/bajas, gestión de pedidos, etc.).
Demos otra vuelta de tuerca: es posible que la última compañía
actúe como intermediaria en nombre del cliente frente a la empresa
desarrolladora y al proveedor de hosting. Para rizar el rizo y pasar de
rosca a la tuerca anteriormente mencionada imaginemos por un instante que
cada una de las compañías es asesorada por un bufete de abogados
distinto.
¿Qué es lo que ha fallado entonces? Simplemente que no se
ha aplicado la lógica en la distribución de responsabilidades
que por ley le corresponden a cada parte; no se trata de escurrir
el bulto, sino de repartirlo adecuadamente, de tal forma que el cliente
sea consciente de los aspectos que tiene cubiertos con el servicio contratado
y los que le quedan por cubrir utilizando medios propios o subcontratándolos.
Si a estas alturas se siguen cometiendo y admitiendo estos errores es por
falta de práctica, falta de tiempo o falta de malas experiencias.
Por ejemplo, respecto a la LOPD el proveedor obviamente se encargará
y será responsable de ciertas parcelas del servicio (backup, acceso
físico, etc.) en su papel de encargado del tratamiento (normalmente
no será el único) y la ley recoge el posible carácter
múltiple de esta figura. El cliente sería responsable del
fichero y del tratamiento, y de implementar el resto de medidas técnicas
no contempladas en el servicio (aplicaciones alojadas, gestión de
usuarios y contraseñas, etc.). Respecto a la LSSI y centrándonos
en la legalidad del proyecto poco puede hacer el proveedor excepto almacenar
los logs de acceso (reglamento aún pendiente de desarrollar) siempre
y cuando no se trate de alojamiento físico de servidores propiedad
del cliente.
Por suerte para todos, cada vez es más habitual entonar un ¿cumple
la norma? Sellos, Marcas, Estándares, ¿serán éstos
los eslabones perdidos? De lo que sí estamos seguros es de que al
menos harán más fácil que abogados e ingenieros hablen
el mismo idioma. La normalización vendría a aportar madurez
y estabilidad, sin que tenga que suponer un retraso al avance de la tecnología,
sino más bien una nueva forma de intentar encasillar
aquello que puede cambiar a un ritmo trepidante, heredando el carácter
global e internacional inherente al medio, y el complemento idóneo
para dotar a los textos legales de la estabilidad necesaria.
Llegados a este punto, la guinda del pastel sería plantearse: ¿todo
lo anterior es cierto con el paso del tiempo?, lo cual nos lleva a la figura
del auditor, y a otro montón de normas y certificaciones asociadas
a este entorno. Detectar que el servicio se sigue prestando bajo las condiciones
pactadas y sigue siendo legal, y lograr que el tercero
independiente no pase a ser el tercero en discordia rompiendo
la hegemonía existente, puede ser complicado. El proceso simplificado
sería: tener en cuenta la ley - tener en cuenta la norma - implantar
la solución técnica (o proyecto) - auditar - corregir - auditar
- corregir - auditar - corregir - auditar..., pero como supondrá
el lector, a más preguntas e inquietudes, más esfuerzo y costes,
con lo que puede que no siempre se llegue al último punto por haber
malgastado las fuerzas (o el presupuesto) en resolver las cuestiones anteriores.
Aparte de la necesidad de mantener una comunicación fluida y coherente
entre los diferentes actores, es y será necesario el intercambio
de conocimiento entre abogados e ingenieros para armonizar el mundo de las
ciencias con el mundo de las letras (Quid pro quo), y lograr recorrer el
camino del dicho al hecho, sin perderse entre montañas de especificaciones
técnicas detalladas o listas interminables de cláusulas redundantes
contradiciendo a la lógica. |