Tal y como se conduce en España, la probabilidad de que el lector hay recibido una multa por aparcar cinco minutos en prohibido, o por conducir en zona de 40km/h a 42 son relativamente altas. Seguro que muchas veces hemos escuchado o proferido quejas como “Pero si sólo estuve un minuto de más” o “Es imposible ir a menos de 45 en esa recta”. Pues bien, es aquí donde el dilema del burócrata nos pone, por una vez, en su piel. La arbitrariedad de los límites burocráticos, como a partir de qué ingresos se ofrece una subvención, o a partir de qué altura se puede ingresar en la policía es, en la práctica, inevitable. Si, por ejemplo, a una persona que midiera una centímetro menos del mínimo se le admitiera en la Policía Nacional, todas las personas que midiesen igual serían admitidas, dado que la ley debe ser igual para todos. Eso convierte en efecto a ese centímetro menos en la nueva altura mínima. No tardará una persona que mide justo dos centímetros menos que el antiguo mínimo en pedir el ingreso, argumentando que es sólo un centímetro más bajo. El proceso continúa hasta que no existe ninguna altura mínima. Luego la postura del burócrata es la de poner un límite -sabiendo que es arbitrario- y atenerse a él por absurdo que sea, dado que la alternativa es que no exista ningún límite. Tomar decisiones basadas en criterios objetivos simples implica con frecuencia imponer criterios inflexibles que pueden y, de hecho, dan lugar a situaciones paradójicas.
En el caso de la seguridad, el dilema del burócrata se ve agravado por el hecho de que la seguridad es un entregable negativo. La ausencia de incidentes por un periodo prolongado nos lleva a pensar que estamos seguros. Si vivimos en una ciudad en la ni nosotros ni nadie que conozcamos han sido nunca atracados, nos sentiremos seguros, por ejemplo.
Existe una relación indirecta entre la actividad de seguridad y los objetivos de seguridad. Intuitivamente la mayoría creemos que hay una relación directa entre lo que hacemos (nuestros resultados) y lo que queremos conseguir (nuestros objetivos). Esta creencia la alimentan experiencias como hacerse un sandwich. Compramos los ingredientes, vamos a casa, los cortamos y apilamos, quizá incluso lo tostamos y, ¡ya está!: Un sandwich listo.
Por desgracia esta relación no es siempre directa. En el caso de la Investigación no hay una relación directa entre objetivos (descubrimientos) y la actividad (experimentos y publicaciones). Se pueden intentar cientos de experimentos y aún así no encontrar una cura para el cáncer. Lo mismo pasa con la seguridad. Los objetivos (confianza, seguridad), y la actividad (controles, procesos) no están directamente relacionados.
¿Cómo afectan estos dilemas al cumplimiento normativo? Las leyes y reglamentos intentan expresar con precisión a qué esta uno obligado, de modo que la Agencia Española de Protección de Datos pueda determinar cuando se está incumpliendo la ley para imponer la sanción correspondiente. Pero no sólo los requerimientos son arbitrarios (¿Cuántos bits de longitud de clave son insuficientes?), sino que los requerimientos no garantizan el resultado que busca la ley. Una empresa puede cumplir íntegramente con la LOPD, y a pesar de ello sufrir un incidente en el que se divulga información personal especialmente sensible.
La Ley y el Reglamento dicen qué medidas deben tomarse para proteger la información -esto es, legislan la actividad- pero no legislan el objetivo. Si se legislara el objetivo, entonces la Ley debería establecer un límite burocrático sobre el número o cantidad de información personal que es tolerable perder al año; pero no lo hace.
La Judicatura no determina la culpabilidad únicamente por la tipicidad, sino que utiliza criterios como la naturaleza de los derechos afectados, la intencionalidad, la reincidencia y los daños y perjuicios ocasionados, entrando en lo que podríamos llamar “el espíritu” de la ley.
Esta situación tiene un doble efecto; Por un lado una organización entiende que no necesita ir más allá de la actividad exigida por la ley para proteger su información personal. Por otro lado, en caso de un incidente la organización que cumple con las medidas que marca la ley entiende que queda exenta de responsabilidad, dado que puede demostrar que ha cumplido con ella.
Para resumir, la unión del dilema del burócrata con la falta de relación directa entre la protección de la información y la seguridad de esa información nos lleva a una situación perversa; algunas organizaciones se ven obligadas a invertir de más para cumplir con la letra de la ley, cuando con una inversión inferior podrían cumplir con la intención de la ley; mientras otras organizaciones se paran mucho antes de la meta, dado que el cumplimiento con la letra les exime de responsabilidad por no cumplir con el espíritu, que sería el de tomar todas las medidas necesarias para proteger los derechos del ciudadano.
Esta no es una situación sencilla de resolver; en USA han tomado la medida de obligar a las empresas a declarar la pérdida de información de clientes, en la esperanza de que los posibles efectos negativos de esas declaraciones les fuercen a proteger su información, por la fuerza del mercado, de una forma más efectiva. Sólo el tiempo dirá si esa aproximación es más o menos efectiva que la Europea. (Muchas gracias a Gonzalo Salas por sus comentarios para mejorar este artículo) | 
