La nube de la Administración: dónde se guardan los datos de los españoles
La información que figura en los chips de los DNI electrónicos, los expedientes de Hacienda y datos tributarios, los de la Seguridad Social, los de salud, los judiciales… La Administración General del Estado (AGE) dispone de una ingente cantidad de información personal de los ciudadanos que debe guardar y gestionar. Igual que las personas, las instituciones públicas han dejado de lado los archivos físicos para pasarse a un formato más eficiente y ligero: la famosa nube informática.
El espacio de almacenamiento del que disponen está segregado y repartido entre los organismos, en función de sus competencias y atribuciones. Según el último informe sobre ‘Las tecnologías de la información y las comunicaciones en la Administración del Estado’, más conocido como informe REINA, el número total de servidores instalados en la AGE en enero del año pasado ascendía a 24.580. El Ministerio de Empleo y Seguridad Social era el que más reunía (5.881).
Con tal volumen de equipos almacén e instituciones implicadas, ¿es posible saber dónde se guarda la información de una persona en concreto? ¿Puede un ciudadano conocer no sólo la ubicación de los servidores sino también quién los gestiona?
Antonio Pérez (nombre ficticio), nacido en Madrid y residente en la capital, quiere saberlo. “El derecho de acceso está reconocido en la Ley orgánica de protección de datos de carácter personal (LOPD)”, explican a HojaDeRouter.com desde el Instituto Nacional de Ciberseguridad, INCIBE. En teoría, los interesados pueden consultar quiénes, cómo y para qué utilizan sus datos personales.
Sin embargo, hay ciertas restricciones: “La ley no obliga al responsable del tratamiento de los datos a indicar en la cláusula informativa la contratación o existencia de encargados del tratamiento, más allá de su deber de notificarlo al Registro de Protección de Datos”, advierte el abogado especializado en TIC Miguel Recio. Tampoco le insta a revelar la ubicación exacta del centro de almacenamiento.
“El propio Ministerio es el responsable del tratamiento y la administración del centro de datos y de toda la información que almacena”, aseguran desde el Ministerio de Sanidad. El Sistema Nacional de Salud dispone de un nodo central y una intranet sanitaria (ambos alojados en esa instalación principal), pero las historias clínicas digitales de los ciudadanos se encuentran en servidores ubicados en su comunidad autónoma.
“Contienen los episodios e informes médicos, acompañados por imágenes, resultados de pruebas de laboratorio, etc.”, aclara Domingo Sánchez, presidente de la Asociación de Profesionales de Informática de la Sanidad de la Comunidad de Madrid (APISCAM). Como las de Antonio, la mayoría de las historias clínicas de los madrileños se hallan actualmente en cinco grandes hospitales gestionados directamente por el SERMAS (Servicio Madrileño de Salud): La Paz, Doce de Octubre, Clínico San Carlos, el Gregorio Marañón y el Ramón y Cajal.
Estos tienen sus propios centros de datos, al igual que algunos de los hospitales pequeños y medianos. No obstante, el Ramón y Cajal, el 12 de Octubre, el Gregorio Marañón, el Príncipe de Asturias, La Paz, el Clínico San Carlos, el hospital de Getafe, Santa Cristina, Niño Jesús y el Central de la Cruz Roja van a adoptar próximamente el sistema de historia clínica de HP. La empresa estadounidense ha obtenido un contrato de cuatro años para instalar su producto, que “incluye los trabajos de migración y la administración de los servidores”, afirma Sánchez.
Por otro lado, los hospitales de gestión público-privada inaugurados en 2008 “nacieron con un único centro de proceso de datos que gestionaba Siemens”, indica el presidente de APISCAM. La situación cambió hace unos tres años, cuando la Comunidad de Madrid decidió mudar los ficheros a una instalación de la Consejería de Sanidad administrada por el Centro de Datos y Aplicaciones Sanitarias (CEDAS), la unidad encargada de gestionar también el centro de datos que guarda la historia clínica de atención primaria. El departamento está externalizado a Fujitsu en virtud de otro contrato multimillonario.
Por último, están los hospitales de gestión completamente privada, como el Hospital de Valdemoro o la Fundación Jiménez Díaz, propiedad de Quirónsalud. “Aproximadamente un tercio de la asistencia sanitaria pública de Madrid está en manos de empresas privadas”, advierte Sánchez. “Firman acuerdos de privacidad y pasan auditorías documentales, pero dónde y cómo guardan los datos depende de ellos”. Todos los centros, incluidos los privados, pueden acceder a los historiales almacenados en el resto de instalaciones sanitarias.
Los ministerios responden
Antonio decide recurrir al Portal de Transparencia del Gobierno para averiguar el paradero del resto de sus datos, así que envía distintas solicitudes de acceso a la información pública a los distintos ministerios: pregunta dónde se guardan y qué empresa o administración se encarga de gestionarlos.
Desde el Ministerio de Empleo y Seguridad Social le informan de que la Gerencia de Informática de la Seguridad Social, con sede en la calle Doctor Tolosa Latour (Madrid), es la encargada de “la creación, custodia y administración de las bases de datos del sistema”.
Los responsables de comunicación son algo más claros cuando los contacta HojaDeRouter.com: “La Seguridad Social tiene un centro de datos principal y otro de respaldocentro de datos principal donde se encuentran los datos de todos los españoles”, dicen. Pero, pese a reafirmar que la administración es propia, el mismo organismo otorgó en 2014 un contrato de dos años por “servicios de operación, gestión y soporte técnico de los sistemas de información de la Gerencia de Informática de la Seguridad Social” a UTE (firma integrada por las empresas INSA, GESEIN, SOFTWARE AG y SIA) por valor de 20.714.670,65 euros.
“La infraestructura física de los sistemas de información gestionados por el Ministerio de Justicia se presta desde diferentes centros de procesos de datos propiedad de este”, contesta dicho organismo a través del portal de transparencia, y lo mismo para el Registro Civil. Las instalaciones, que almacenan los expedientes de antecedentes penales, vida civil y datos de extradiciones, se hallan “en los inmuebles del Ministerio”, según fuentes del mismo.
La Subdirección General de Nuevas Tecnologías de la Justicia posee dos centros de procesamiento de datosdos centros de procesamiento de datos, uno en un edificio de la calle Ocaña y otro en la calle Luis Cabrera (Madrid). A finales del año pasado, el departamento concedió un contrato a la consultora SATEC para prestar “servicios de operación y mantenimiento de infraestructuras de comunicaciones”.
“Todos los datos que recaba la Agencia Tributaria en el cumplimiento de su misión, la infraestructura tecnológica que da soporte a esta gestión y los centros de procesamiento de datos son gestionados directamente por la Agencia Estatal de Administración Tributaria (AEAT)”, indican desde Hacienda. Este Ministerio dispone de varios centros de datos repartidos entre los edificios de la calle Alcalá, el paseo de La Castellana y la sede central de la Agencia Tributaria, en la calle Infanta Mercedes (Madrid), que se suman a otros dos centros adscritos al Departamento de Informática Tributaria.
Este año, la AEAT también se ha decantado por UTE para llevar a cabo los “servicios de gestión y administración de sistemas y bases de datosse ha decantado por UTE, así como de desarrollo y mantenimiento de aplicaciones” o, como indican las prescripciones técnicas de la licitación, los servicios de “desarrollo, gestión y mantenimiento del sistema de análisis de la información del Departamento de Informática Tributaria”.
Por su parte, el almacenaje y custodia de los datos que figuran en el DNI electrónico, incluidas fotografías, huellas dactilares, claves para efectuar las firmas digitales, así como los visados expedidos, son responsabilidad de la Policía Nacional. “Hay un centro de datos para toda España administrado por la Gerencia de Informática”, aclaran desde el Cuerpo. Este se encuentra en la localidad madrileña de El Escorial.
Seguridad de la información
“Las medidas de seguridad son indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad”, advierten desde la Agencia Española de Protección de Datos (AGDP). La intensidad de las mismas depende de lo sensible que sea la información: los ficheros relativos a infracciones, de carácter tributario o de la Seguridad Social exigen la aplicación de medidas de seguridad de nivel medio, mientras que los que contengan datos de salud o vida sexual se consideran de un rango alto.
Aunque la AGDP publica guías para que las administraciones públicas “garanticen de forma efectiva los derechos de los ciudadanos”, solo actúa si existen “indicios de infracción de la normativa de protección de datos”.
¿Y si los organismos contratan a empresas externas? “Es necesario revisar muy bien las condiciones y cláusulas e informarse de las prácticas de negocio del prestador y de las garantías que ofrece, ya que surgen riesgos tanto tecnológicos como jurídicos”, indica Recio.
Las licitaciones que concede la Administración están disponibles para consulta pública; “el proveedor firma un Acuerdo de Nivel de Servicio que garantiza la prestación del mismo al usuario”, informan desde INCIBE. Para saber si las firmas cumplen con los requisitos, las opciones son generalmente dos: las auditorías y los certificados exhibidos por las empresas y los propios ministerios, como los de EUROCLOUD, Cloud Security Alliance, las normas ISO, etc.
Sin embargo, según Sánchez, las auditorías no bastan. “Suelen reducirse al control documental, informes”, señala el presidente de APISCAM. “Tiene que haber al menos un cuerpo de informáticos propio de la administración que realice auditorías técnicas, algo que solo puede ocurrir si el personal está familiarizado con el producto y el sistema”, prosigue.
Uno de los riesgos de externalizar la gestión de los sistemas es “la posibilidad de pérdida de control de la información”, advierte Sánchez. “Si adjudicas algo tan importante como los datos de salud a una empresa por unos años y luego el contrato pasa a otra, la anterior tiene que generar una documentación”, indica. Pero asegura que la realidad difiere un poco del contexto teórico: “Cuando esto ocurre hay auténtico pánico e intenta conservarse parte del personal de la primera compañía para que los siguientes sepan cómo funciona todo”, revela.
Desde la Administración aseguran cumplir con todas las medidas de protección exigidas por la ley. Además, “son muchos más los beneficios que los riesgos de los servicios de ‘cloud computing’”, afirman desde INCIBE. Su diseño cada vez ofrece mayores garantías de seguridad frente a ataques o pérdida de información y beneficios en materia de interoperabilidad, eficiencia, ahorro de espacio y optimización de costes.
---------------------------------------------------------------------------------------------------------------------
Las imágenes de este artículo son propiedad, por orden de aparición, de Cory M. Grenier, Irekia, Ministerio de Empleo y Seguridad Social y Sean Ellis