Tanto en España como en la UE, gracias a la Ley de Protección de Datos Personales y al Reglamento Europeo de Protección de Datos, lo que se puede hacer con los datos de carácter personal es «muy restrictivo» y se protege la privacidad de los ciudadanos digitales.
De hecho, continúa este experto en ciberseguridad, si alguien quiere trasladar una base de datos personales fuera de la UE tiene que declarar una «transferencia internacional de datos» y solo lo podría hacer a países con leyes equivalentes a las españolas.
Por eso, en el caso de confirmarse que hay webs de la Generalitat en servidores en países con los que la UE no tiene acuerdos, estas necesitarían consentimiento y la aplicación de medidas técnicas equivalentes a las que exige la legislación europea, y de no hacerlo sería ilegal, según Rosell.
El nuevo Real Decreto Ley sobre seguridad digital aprobado este jueves por el Consejo de Ministros, habla de servidores y dice que todos aquellos que usen datos de las administraciones públicas del Estado deben estar localizados en la UE y no en paraísos digitales.
La ley española y europea no habla de servidores, sino de información de los ciudadanos y por tanto de datos de carácter personal, explica Rosell, director de S2 Grupo Madrid, una empresa española de ciberseguridad, quien indica que, si bien aún no se conoce todo el contenido del decreto, sí parece que va más allá.
Y lo hace porque menciona a los servidores de la estructura del Estado: hay un Estado físico y otro digital, es decir, la sociedad digital que incluye todos aquellos servicios que las administraciones estatales y las comunidades autónomas prestan a los ciudadanos.
El decreto dice que la estructura del estado digital tiene que montarse en servidores europeos y tiene que ser así porque la mayoría de ellos van a incluir datos de carácter personal, que están especialmente protegidos por las leyes españolas y europeas, apunta.
«Hacerlo fuera del país no sería un puerto seguro para nuestros datos», resume este experto, quien pone un ejemplo: En España y en la UE el mero hecho de mirar un historial clínico de un paciente, incluso por parte de un médico que no esté autorizado, puede ser constitutivo de delito, pero fuera de este marco legislativo no lo es, las leyes no aplican.
Si bien montar un servidor -unidad informática que proporciona diversos servicios a ordenadores conectados a través de una red- es relativamente fácil en cualquier sitio, es positivo que este decreto ley acote su ubicación a la UE, aunque más difícil será su persecución.
Y es que si un servidor se localiza en la «isla X», España no tiene potestad para actuar fuera de sus fronteras, al menos inmediatamente: el decreto ahora da pie a las fuerzas y cuerpos de seguridad del Estado a perseguirlos, aunque su cierre no se consiga con carácter inmediato por estar fuera de nuestra jurisdicción.
Estrella Digital