On és la llei que protegeix les dades personals?
Qui més qui menys, ha sentit a parlar dels pirates informàtics. Les pel·lícules americanes s’han fet ressò d’aquesta mena de personal, que, sovint, amb un aspecte físic molt característic (prims com si passessin gana i amb unes ulleres molt lletges), s’amaga darrera d’una pantalla d’ordinador, i es passeja pel mig de les dades més amagades del nostre planeta, traient-les a la llum o bé amenaçant de fer-les públiques.
Avui dia no podem negar la importància que ha de tenir per a tots nosaltres la ciberseguretat. Cada cop és més habitual llegir que s’han produït atacs informàtics amb segrest de dades, pel retorn de les quals, aquests personatges, invisibles o amagats darrera una IP que no es pot rastrejar, demanen grans quantitats de criptomonedes.
El nostre petit país no és una excepció. També patim atacs de pirates informàtics, que busquen dades amb les quals obtenir un benefici, sigui del tipus que sigui. Andorra Telecom alertava el passat 27 de desembre de nous atacs.
En aquest context, dos mesos abans, el 27 d’octubre, el Butlletí Oficial del Principat d’Andorra va publicar un decret mitjançant el qual es creava l’Agència Nacional de Ciberseguretat i l’Equip de Resposta de referència al Principat d’Andorra per al tractament d’incidents de seguretat de les xarxes i els sistemes d’informació.
Amb unes denominacions tan estupendes es pretenia probablement repartir cloroform a dojo perquè la ciutadania pogués pensar que ja estem salvats i segurs. Els pirates de pantalla i teclat, es trobarien una increïble protecció de les xarxes del nostre país que frustraria els seus atacs.
Res més lluny de la realitat. Aquell decret que, segons establia, entrava en vigor al dia següent de la seva publicació, o sigui el 28 d’octubre, és una closca buida de contingut. L’Agència Nacional de Ciberseguretat no té marc normatiu, o sigui, no hi ha una llei que li doni suport.
El mateix decret, en la seva exposició de motius diu: «Així mateix, el Govern està treballant en la redacció d’un projecte de llei de mesures per a la seguretat de les xarxes i dels sistemes d’informació, i en una regulació específica dels ciberdelictes, perquè el Principat d’Andorra pugui disposar d’un marc normatiu en matèria de ciberseguretat innovador i adaptat a la realitat del nostre país i del context internacional, entre altres objectius».
No soc doncs jo, sinó el mateix Govern, qui diu que no hi ha marc normatiu, malgrat al llarg de tot el decret se’n fa referència constant. La crua realitat és que han començat la casa per la teulada.
A dia d’avui, gairebé tres mesos després, no sabem quin personal hi ha treballant en aquesta agència, ni com se’l contracta, ni d’on surten els diners per pagar tot el muntatge que descriu el decret, ni qui exerceix el seu control, si el Govern directament o el Consell General. Hi ha més incògnites que respostes. Sí que sabem que hi ha una persona dins d’aquesta agència, el secretari d’Estat de Transició Digital i Projectes Estratègics. És l’única persona identificada i que sabem del cert que ho orquestra tot, com si s’ho pogués fer tot, tot sol.
Al llarg del decret es descriuen diferents organismes, els uns supervisen als altres, i sempre, darrere de tot, hi ha el secretari d’Estat de Transició Digital i Projectes Estratègics.
Un bon amic, quan em va explicar com anava tot plegat em va dir, d’una manera molt gràfica: «Són un plegat de caixes, però que estan buides». La definició no podria ser més ajustada.
Malgrat aquest fosc i estrany inici, el tema és prou important i s’hauria de posar fil a l’agulla. Tenim una agència però no tenim llei. No sabem si aquest projecte de llei existeix, si s’ha començat a redactar, o bé, dorm el son dels justos en algun calaix. Podem esperar que s’aprovi, abans que l’actual Govern acabi la legislatura? La nostra ciberseguretat així espera que sigui. Però veient com queden aparcats els problemes urgents, començo a dubtar que sigui així. Però bé, no ens preocupem, de moment tenim l’Agència Nacional de Ciberseguretat, i està en funcionament des del passat 28 d’octubre d’enguany. Com i amb qui funciona, no ho se sap.
Hem de ser conscients que la digitalització desenfrenada de l’Administració no es pot dur a terme sense riscs i ha d’anar conjuminada amb la responsabilitat de protegir les dades.
Les administracions públiques són un objectiu dels cibercriminals perquè posseeixen un gran nombre de dades.
Un sol exemple: l’estiu del 2020 les dades de gairebé un milió i mig de persones que havien efectuat un test de detecció de la covid-19 a la regió d’Ile-de-France van ser furtades a l’Assistance Publique-Hôpitaux de París.
A casa nostra podem també manifestar dubtes sobre la manera amb la qual el Govern protegeix els milers de dades, sovint hipersensibles, que la ciutadania els cedeix amb tota la confiança: número de seguretat social, història clínica, dades bancàries, ingressos i rendes, adreces electròniques i postals, nom del consort, etc.
I l’agència andorrana de protecció de dades? No seria l’organisme adequat per protegir-nos?
Recentment n’hem sentit a parlar però no pas perquè hagi endegat o promogut accions, expedients o sancions sinó per les picabaralles al Consell General, fins i tot dins la coalició del Govern, sobre la idoneïtat de la persona proposada per Liberals per assumir la direcció de l’entitat en el marc dels nous nomenaments de responsables.
Sobre el paper que tindran els uns i els altres en la protecció de les nostres dades, res de res.