Ni siquiera está claro quién tiene exactamente acceso a los documentos confidenciales. Así lo demuestra una investigación externa recientemente publicada.
Borrar datos de los ordenadores es una tarea de empresas especializadas.
El Estado sabe mucho sobre sus ciudadanos y almacena esta información durante años. Por eso es aún más importante tratar los datos de forma responsable. Pero el Departamento de Justicia de Zúrich, precisamente, pasó por alto esto durante mucho tiempo.
Allí trabajan más de 1.000 empleados y departamentos como la fiscalía y prisiones están ubicados organizativamente en la dirección, es decir, zonas especialmente sensibles. Sin embargo, la dirección no se deshizo adecuadamente de los ordenadores y discos duros viejos durante años. En lugar de eliminar datos confidenciales, terminaron en el El barrio rojo y de drogas de Zúrich. Esto se supo en diciembre de 2022.
No existe un proceso de eliminación generalmente válido.
Jacqueline Fehr.
La eliminación fallida fue hace más de 15 años. Sucedió mucho antes de que asumiera el cargo la actual directora de Justicia, Jacqueline Fehr (SP). Sin embargo, como actual jefa, comparte la responsabilidad de oficio. A causa del escándalo de los datos, por primera vez en muchos años el consejo cantonal se utiliza un PUK. El propio Fehr también encargó investigaciones internas y externas.
Ya está disponible el informe final de dicho estudio externo, redactado por los auditores de KPMG. El informe no se dedica en este momento a la operación de eliminación, sino que pretende mostrar cuál es la situación del Departamento de Justicia y de la administración cantonal en general en lo que respecta a la protección de datos y la seguridad de la información.
Conclusión: Hasta el día de hoy, la forma en que el Cantón de Zúrich y el Departamento de Justicia manejan los datos confidenciales sigue siendo problemática. Durante su selección, los expertos encontraron, entre otras, las siguientes dificultades:
- Los datos antiguos no se eliminan sistemáticamente. Incluso archivos de hace 25 años del antiguo sistema de información jurídica se copiaron a una nueva plataforma, donde todavía se pueden encontrar hoy. Probablemente habría que eliminarlos manualmente, escribe KPMG. Incluso los datos más recientes no se destruyen periódicamente una vez transcurrido el período de conservación. No existe un proceso de eliminación explícito y generalmente válido.
- La digitalización todavía no está teniendo suficiente efecto. En áreas clave como la aplicación de la ley y el sistema penitenciario, los expedientes todavía se gestionan de forma analógica, pero también hay información digital. Sin embargo, siempre existen discrepancias entre los archivos en papel y los datos del sistema.
- La conciencia sobre las cuestiones de protección de datos no es igual de alta en todos los ámbitos. Tampoco existe una política uniforme de protección de datos para toda la Dirección de Justicia.
- No existe un proceso formal para abordar las violaciones de seguridad de los datos que sea de última generación para organizaciones comparables. Tampoco existe un plan de emergencia para las violaciones de datos.
- Las oficinas y departamentos especializados a menudo carecen de una visión general de quién tiene autorización de acceso a datos confidenciales.
- No existe una gestión de riesgos a nivel de toda la dirección para la protección de datos y la seguridad de la información.
- No existe una formación periódica sobre protección de datos y seguridad de la información.
La Dirección de Justicia, como también deja claro el informe, no se ha quedado de brazos cruzados en los últimos meses. Identificó puntos débiles, aumentó las precauciones de seguridad, ajustó procesos y determinó los responsables. También está en proceso de implementar las medidas recomendadas por KPMG.
También hay nuevas iniciativas estratégicas a nivel cantonal que se ocupan, por ejemplo, del almacenamiento y destrucción de datos. También se presentará en el Departamento de Justicia una nueva solución de seguridad, Microsoft Purview. «No sólo encontramos una cultura constructiva del error, sino también un nivel muy alto de motivación para cerrar brechas rápidamente», escriben los especialistas externos sobre estos esfuerzos.
La cultura del error constructivo también puede incluir el hecho de que la dirección publicó el informe de KPMG, que todavía estaba marcado como “confidencial”, en su totalidad, aunque sin comentarios en el sitio web. Sitio web de la Secretaría General. Además, la consejera de gobierno Fehr escribió en un artículo sobre su blog personal Escribí sobre ello hace unos días y vinculé el estudio. «Muchas cosas ya van bien y seguimos trabajando en otras tantas, siempre con el objetivo de poder ser un modelo a seguir», escribe Fehr en su sitio web.
Siempre existe un riesgo residual.
Probablemente las mejoras tardarán algún tiempo en surtir efecto, y los responsables no son sólo Jacqueline Fehr y su departamento de justicia. La protección de datos, escriben los expertos de KPMG, es un proyecto costoso y de largo plazo que abarca todos los ámbitos de la administración cantonal. En muchos lugares se requiere una nueva conciencia y los procedimientos actuales deben cambiarse permanentemente. También es necesario aclarar las responsabilidades. En algunos casos, son necesarios cambios en la ley.
Nada de esto está disponible de forma gratuita. El informe afirma que con los recursos actuales no es posible una protección integral de los datos. De ninguna manera se debe subestimar la escala del proyecto.
Y: Como ocurre con cualquier organización grande, en el cantón sigue existiendo un cierto riesgo residual debido al sistema. No existe una seguridad de datos del 100%. Quien quiera excluir todos los riesgos impide o imposibilita la aplicación eficaz de medidas de protección de datos, escribe KPMG. Por tanto, es necesario un enfoque basado en el riesgo.
Por lo tanto, los responsables deben decidir conscientemente qué riesgos quieren aceptar.