DE ABOGADOS E INGENIEROS: QUID PRO QUO

La utopía de hacer negocio fácil en Internet simplemente “enchufando” un servidor a la red y recogiendo los beneficios a última hora del día ya hace tiempo que quedó relegada a la memoria histórica del oportunismo. A los requisitos en materia de protección de datos personales de la ya veterana LOPD se unieron los condicionantes de la no menos polémica LSSICE, rellenando algunos huecos del marco legal de la red antes anhelado por inexistente y ahora criticado por omnipresente. Para hacer las cosas “como es debido” hay también que estar a la última en los avances del vía crucis respecto a la validez jurídica de la firma digital, normativas de venta a distancia, hilar fino en la elaboración de políticas de uso aceptadas, facturación on-line, evaluar la posibilidad y validez del arbitraje para la resolución de conflictos, y un largo etcétera.
Gustavo San Felipe Lobo
Responsable de Seguridad
ACENS

Dejaremos aparte la discusión sobre si las leyes y reglamentos asociados han sido acertados en su redacción (Dura lex, sed lex - Dura es la ley, pero es la ley), confiando en que el futuro proporcione más acercamiento al mundo real y no conduzca a la indiferencia y desentendimiento, y nos centraremos en los problemas que encontramos en los proyectos de TI a la hora de cumplir con la legislación vigente.
A años Internet quedó la sensación de “ciudad sin ley”, y la evolución de la red quedó manifiesta en la sucesión de preguntas e inquietudes: después del planteamiento inicial (¿es posible?), y salvados los problemas de implantación (¿funciona?), se pasó al ¿es seguro?, cuestión hasta ahora resuelta en mayor o menor medida por los técnicos con el comodín de las “prácticas habituales”.
En el siguiente interrogante entraron en escena los asesores legales: ¿cumple la ley? Si en el caso anterior era harto complicado contestar de forma tajante, esta pregunta tampoco suele tener respuesta fácil, y es posible que sea necesario el asesoramiento de expertos en legislación para determinar qué ley, decreto o reglamento sería aplicable a una situación concreta, o qué posibilidades tendrían en un juicio las “prácticas habituales” desarrolladas por los ingenieros.
Los textos legales incluyen cada vez más aspectos técnicos de forma directa o indirecta, con lo que hacer que los calificativos “seguro” y “legal” pasen de lo indeterminado a lo palpable implica la coordinación de “ingenieros” y abogados.
Por desgracia, es habitual que en la práctica se cometan errores de bulto, y que el diálogo entre técnicos y letrados no sea tan fluido o ni siquiera se produzca, generándose vacíos y/o asunciones que a la larga pueden ocasionar problemas. En el peor de los casos se confirmarían los tópicos: al ingeniero le causan indigestión los textos legales (“Esto es para los abogados”), y al letrado le suenan a chino las especificaciones del sistema (“Esto son detalles técnicos”).
En los escenarios de outsourcing la complejidad aumenta, hay que tener en cuenta que existirán diversos diversos actores, cada uno de los cuales contará con una especialización, saber hacer e intereses bien diferenciados. Pongamos como ejemplo el típico proyecto web con “ánimo de lucro” y tratamiento de datos personales. Los jugadores serían los siguientes: 1) el cliente que pretende montar el proyecto, 2) un proveedor de servicios de hosting donde se albergará la aplicación web, y 3) el bufete de abogados que proporciona asesoría legal al cliente.

Los textos legales incluyen cada vez más aspectos técnicos de forma directa o indirecta, con lo que hacer que los calificativos “seguro” y “legal” pasen de lo indeterminado a lo palpable implica la coordinación de “ingenieros” y abogados.

Al contratar el servicio de alojamiento el proveedor le hace llegar el contrato, el cliente lo envía inmediatamente a su asesor legal sin ningún comentario adicional. Mal comienzo; dada la variedad de servicios especializados en el área de Internet es difícil que sin más pistas el asesor legal pueda determinar las responsabilidades concretas que debe asumir el proveedor. Comienza la revisión del contrato, y el asesor falto de información y para “curarse en salud” (propia y de su cliente) propone cláusulas como “El proveedor cumplirá con la Legislación vigente y se obliga a mantener indemne al cliente frente a cualquier reclamación que pueda serle interpuesta...”.
Después de varios cruces de propuestas de modificaciones y alguna conversación telefónica o reunión aclaratoria el agua volverá a su cauce. Los asesores legales conocerán el conjunto de servicios que su cliente va a percibir y los ingenieros del proveedor sabrán los requisitos técnicos que deberán implementar para este caso concreto.
Con ese ir y venir de documentos, anexos, correcciones, correcciones a las correcciones, y después de poner en contacto directo a la “segunda vuelta” a proveedor y asesor, es posible que el cliente pierda el ánimo en general, y el de lucro en particular, lo cual es malo para todos. También es posible que en alguna fase del “tira y afloja” alguien ceda en exceso consintiendo con cláusulas que van más allá de sus responsabilidades y que proporcionan un efecto placebo a la otra parte (contratante).
El caos aumenta si el modelo de outsourcing es más complejo, por ejemplo, si adicionalmente entran en juego los siguientes actores: 1) una empresa encargada del desarrollo y mantenimiento de la aplicación web, y 2) una compañía que gestionará la aplicación (altas/bajas, gestión de pedidos, etc.).
Demos otra vuelta de tuerca: es posible que la última compañía actúe como intermediaria en nombre del cliente frente a la empresa desarrolladora y al proveedor de hosting. Para rizar el rizo y pasar de rosca a la tuerca anteriormente mencionada imaginemos por un instante que cada una de las compañías es asesorada por un bufete de abogados distinto.
¿Qué es lo que ha fallado entonces? Simplemente que no se ha aplicado la lógica en la distribución de responsabilidades que por ley le corresponden a cada parte; no se trata de “escurrir el bulto”, sino de repartirlo adecuadamente, de tal forma que el cliente sea consciente de los aspectos que tiene cubiertos con el servicio contratado y los que le quedan por cubrir utilizando medios propios o subcontratándolos. Si a estas alturas se siguen cometiendo y admitiendo estos errores es por falta de práctica, falta de tiempo o falta de malas experiencias. Por ejemplo, respecto a la LOPD el proveedor obviamente se encargará y será responsable de ciertas parcelas del servicio (backup, acceso físico, etc.) en su papel de encargado del tratamiento (normalmente no será el único) y la ley recoge el posible carácter múltiple de esta figura. El cliente sería responsable del fichero y del tratamiento, y de implementar el resto de medidas técnicas no contempladas en el servicio (aplicaciones alojadas, gestión de usuarios y contraseñas, etc.). Respecto a la LSSI y centrándonos en la legalidad del proyecto poco puede hacer el proveedor excepto almacenar los logs de acceso (reglamento aún pendiente de desarrollar) siempre y cuando no se trate de alojamiento físico de servidores propiedad del cliente.
Por suerte para todos, cada vez es más habitual entonar un ¿cumple la norma? Sellos, Marcas, Estándares, ¿serán éstos los eslabones perdidos? De lo que sí estamos seguros es de que al menos harán más fácil que abogados e ingenieros hablen el mismo idioma. La normalización vendría a aportar madurez y estabilidad, sin que tenga que suponer un retraso al avance de la tecnología, sino más bien una nueva forma de intentar “encasillar” aquello que puede cambiar a un ritmo trepidante, heredando el carácter global e internacional inherente al medio, y el complemento idóneo para dotar a los textos legales de la estabilidad necesaria.
Llegados a este punto, la guinda del pastel sería plantearse: ¿todo lo anterior es cierto con el paso del tiempo?, lo cual nos lleva a la figura del auditor, y a otro montón de normas y certificaciones asociadas a este entorno. Detectar que el servicio se sigue prestando bajo las condiciones pactadas y sigue siendo “legal”, y lograr que el “tercero independiente” no pase a ser el “tercero en discordia” rompiendo la hegemonía existente, puede ser complicado. El proceso simplificado sería: tener en cuenta la ley - tener en cuenta la norma - implantar la solución técnica (o proyecto) - auditar - corregir - auditar - corregir - auditar - corregir - auditar..., pero como supondrá el lector, a más preguntas e inquietudes, más esfuerzo y costes, con lo que puede que no siempre se llegue al último punto por haber malgastado las fuerzas (o el presupuesto) en resolver las cuestiones anteriores.
Aparte de la necesidad de mantener una comunicación fluida y coherente entre los diferentes actores, es y será necesario el intercambio de conocimiento entre abogados e ingenieros para armonizar el mundo de las ciencias con el mundo de las letras (Quid pro quo), y lograr recorrer el camino del dicho al hecho, sin perderse entre montañas de especificaciones técnicas detalladas o listas interminables de cláusulas redundantes contradiciendo a la lógica.

Documento en PDF
 

<volver