Idioma: Español
Fecha: Subida: 2023-09-26T09:30:00+02:00
Duración: 1h 38m 49s
Lugar: Murcia - Facultad de Derecho - Salón de Grados
Lugar: Mesa redonda
Visitas: 645 visitas

Mesa 1

La ciberseguridad, una oportunidad profesional en el ámbito del Derecho

Descripción

• Antonio Skarmeta. Catedrático de Ingeniería Telemática. Universidad de Murcia
• Dolors Canals Ametller. Profesora titular de Derecho Administrativo. Universidad de Girona
• Nuria Martínez Fernández. Responsable del equipo de expertos GRC en CSA para la Comunidad Autónoma de la Región de Murcia
• Modera: Javier Cao Avellaneda. Lead Advisor Técnico. Govertis, Part of Telefónica Tech

Transcripción (generada automáticamente)

Buenos días. Vamos a dar comienzo a la primera mesa, que tiene como título la ciberseguridad, la oportunidad profesional al ámbito del derecho, y tenemos el privilegio de contar con 3 participantes de bastante renombre y bastante experiencia antes de nada. Así que quiero dar el agradecimiento a la Universidad de Murcia por precisamente organizar este tipo de eventos, a las que tenemos la suerte de contar con Julián que son evangelizador de este tipo de cuestiones. Recuerdo que en esta misma sala pues hace más de 10 años la jornada si cabe, ya no planteábamos los retos del big data, la Administración electrónica ya vaticinamos los peligros y los riesgos que podía suponer la incorporación de la tecnología a la velocidad, la que estaba produciendo y bueno, pues hoy en la mesa lo que pretende básicamente trasladaron la necesidad de contar con profesional en el ámbito del derecho que en equipos multidisciplinares ayuden a construir pues todos los sistemas y toda la tecnología que estamos queriendo desplegar, pero de acuerdo a los principios básicos que deben de proteger al ciudadano y el respeto de los derechos fundamentales que hemos conseguido lograr ser reconocidos en la Mesa. Vamos a contar con Antonio Jara meta, doctor en informática, Universidad de Murcia, titular de la universidad y catedrático en ingeniería telemática del año 2009, a trabajado en diferentes proyectos de investigación a nivel regional nacional y, sobre todo en el ámbito europeo, y ha sido autor de más de 100 publicaciones en revistas internacionales y más de 200 artículos en el Congreso y, como ha dicho, Julián no va a aportar esa visión técnica de la experiencia que supone intentar desarrollar tecnología y tener que contar o tener que considerar cuáles son los requisitos y criterios de la del ámbito jurídico, que de alguna manera tienen que limitar la funcionalidad o el despliegue de ese tipo de sistema. Luego, en segundo lugar, hablará dolor. Canal es profesor o profesora titular de Derecho Administrativo en la Universidad de Girona, también tiene publicados por muchísimos artículos y libros en el ámbito del derecho público administrativo, pero también como ha comentado, Julián se ha especializado en lo relativo a la transformación digital, a la contratación y sobre todo a la ciberseguridad en el ámbito tanto industrial como como los sistemas de información tradicionales, y nos aportará esa visión. En cuanto a cuáles son las necesidades formativas que requieren los perfiles jurídico para poder entender toda la complejidad del ámbito tecnológico, y, por último, pues contaremos con Nuria Martínez, que licenciada en Derecho con más de 15 años de experiencia, como consultora en materia de privacidad y nuevas tecnologías, cuenta con la certificación de la Agencia de Protección de Datos y la certificación fin. Se me dé seguridad, información de Isaka y actualmente ocupa un cargo de responsable del grupo de Gobierno, riesgo y cumplimiento en la comunidad autónoma y nos contara su experiencia práctica. Así que abordará pues bueno, cuál es el día a día de todas estas cuestiones y para introducir la mesa? Bueno, pues por poner un poco el contexto de los últimos años o décadas que hemos ido viviendo, bueno, pues Internet llegó en la década de los 80, como proyecto de investigación que pretendían, pues bueno, la interconexión de los sistemas en el ámbito militar y en la década de los 90 Pues se popularizó con la aparición de la web de la huelga web, que fue una tecnología revolucionaria porque permitía el acceso de forma sencilla a la información. En la década de los años 2000, digamos que el avance tecnológico se produjo con la incorporación de las comunicaciones, inalámbricas, la aparición de los primeros dispositivos móviles y los teléfonos inteligentes, que supuso una nueva revolución en el sentido de permitir la movilidad y el acceso desde cualquier lugar a esa información, que ya era fácilmente accesible a través de la web en el año 2010 como evolución de todo este tipo de avance tecnológico. El siguiente reto fue hacer que ya fuera en la máquina, en las que pudieran estar conectadas a Internet y tomar decisiones, y fue pues el año de la despliegue de la Internet, de las cosas, de las redes 4G y 5G, que van permitido, pues bueno que la tecnología vaya cubriendo un cada vez mayor espectro. En el día a día de las personas casi todo ya tenemos cosa que están enchufadas en Internet, la lavadora, el frigorífico, la propia televisión y, bueno, pues eso, forma parte de la vida cotidiana de las de las personas, y en la década que nos ha tocado vivir, probablemente ya estamos viendo la explosión de la inteligencia artificial y lo que eso puede suponer con respecto al avance de otras disciplinas donde estas tecnologías, pues van a producir una aceleración impresionante en cuanto a capacidades de resolver problemas que hasta la fecha, con, digamos, las tecnologías tradicionales, no éramos capaces de abordar, no, obviamente, vemos cómo la tecnología y inundando nuestro día a día, y también digamos, hay generaciones, sobre todo las últimas que ya son nativos digitales que ya han nacido, con con esas tecnologías, como parte de su día a día, como datos curiosos o quería, por ejemplo, mostrar que no fluye en el año 99 para alcanzar un 1.000.000 de usuarios. Pues tardó 3,5 años en lograrlo, no, Twitter, por ejemplo, que lo tengo por aquí. Pues tardó 2 años en alcanzar un 1.000.000 de usuarios no Change. Pp ha tardado 5 días en conseguir un 1.000.000 de usuarios sea imaginarse a qué velocidad vamos adoptando las nuevas tecnologías. Somos obviamente generaciones que van incorporando en el día a día este nuevo tipo de herramienta y sobre todo los nativos digitales, pues tenéis esa capacidad y esa flexibilidad de poderlo lograr de manera mucho más ágil y rápida, que nosotros no esto digamos que está contando el mundo de la gente que construye infraestructuras, sistemas, servicios pensando en facilitar la vida a las personas, no, pero como en todo suele ocurrir, hay un lado oscuro, hay un lado del cibercrimen o del crimen que ha migrado al cibercrimen, que también avanza o, digamos, se aprovecha de la flaqueza, las debilidades que han tenido este tipo de despliegue tecnológico por la carencia en su momento de contar con escenarios que podían no ser planteable, cuando un ingeniero resuelve un problema, resuelve lo que quiere, ven guiamos producir y no piensan quién puede abusar o proveer aprovecharse de cosas que él no ha considerado para hacer daño o afectan a la infraestructura. No conforme han ido avanzando estos desarrollos tecnológicos que hemos tenido a lo largo de la historia, también golpe de el mundo del cibercrimen, que también nos han hecho pensar o reflexionar, si estamos construyéndolo todo con la adecuada garantía, no en el año 2000, que fue, digamos que un punto de inflexión, pues tuvimos el virus al novio. La primera es convivir informático, habría telediarios en el año 2013, pues tuvimos el famoso Locke, un virus, que secuestraba datos ya no hacían solamente daño a las organizaciones porque afectaban a las comunicaciones, la dejaban aislada. Ya robaban la información, no en el año 2017, el famoso WannaCry, porque además de ser un virus, que secuestraba datos fue un virus que tuvo una dispersión masiva, causó más de 4.000 millones de pérdida. Efectuada 200 países, todo eso digamos en una ventana de tiempo, demasiado corta y bueno, ahora estamos sufriendo, digamos las oleadas de los diferentes tipos de rango. Son siendo lo más famoso, por ejemplo, río que el que afectó a la Autoridad Portuaria de Barcelona. Hemos tenido incidentes en hospitales y, bueno, pues evidentemente, conforme la tecnología se va haciendo. Madura también van incrementándose la necesidad de garantías y de resiliencia de eso que estamos construyendo, que en principio era algo que nos aportaba servicios de valor añadido a cuando se transforman en servicio, que se consideran esenciales. No, Europa, obviamente no lidera en muchos casos el desarrollo tecnológico, pero sí creo que lidera el desarrollo normativo y en ese sentido, bueno, pues la Unión Europea ha establecido una estrategia de ciberseguridad que tiene como objetivo proteger y garantizar los derechos de todo eso, Ciudadanos, con respecto a este tipo de escenario de riesgo y bueno, lo los objetivos fundamentales de esta estrategia, pues se basan en lograr la resiliencia, ser capaces de resistir o de aguantar determinadas situaciones cuando se producen actos malintencionados, intentar lograr soberanía tecnológica, tener independencia y tener la capacidad de no estar en manos de terceros países o de fabricantes, que puedan condicionar ciertas decisiones y luego bueno pues buscar la cooperación no entonces bueno de alguna manera ya ha acabado el tiempo en el que digamos. La tecnología se desarrollaba sin limitaciones y hemos empezado en una era en la que ya tenemos directivas y reglamentos europeos. En el ámbito de la protección de datos, en el ámbito de la protección de infraestructuras críticas, la guerra de Ucrania ha puesto encima de la mesa el concepto de guerra híbrida. Yo te hago un ataque ciber que inutiliza una instalación física que está vigilando determinado sistema y como ya no cuenta con esa ayuda, provocó el ataque físico. Teniendo mucho más éxito, no? Bueno, pues fruto de todo ese tipo de situaciones, como digo, en Europa ya se han aprobado directivas en materia de infraestructuras críticas, directiva en materia de seguridad en redes y sistemas, la reciente Directiva de servicios digitales, que también va a regular a regular las grandes empresas de Internet para evitar también el abuso que puede suponer ese monopolio donde son, digamos, grandes bancos de información de las que luego se puede hacer mucho negocio y bueno, pues todo eso digamos en el contexto en el que nos movemos. De alguna forma. Todas estas directivas, que son muy reciente, pues van a requerir de apoyo, de profesionales del ámbito del derecho que ayuden en el ámbito técnico, a la interpretación y a la contextualización de esos requisitos grave poder pensar o establecer. Dentro de un proceso de construcción, ingeniería de un sistema de información, cuáles son esas necesidades y bueno, en este contexto, pues voy a dar paso en primer lugar a Antonio carpeta, que no va a contar de primera mano. Cómo puede desde el ámbito de la ingeniería llevarse el diseño y el desarrollo de sistemas y de dispositivos que contemplen todas estas restricciones o requisitos regulatorios. Gracias bueno en primer lugar agradecer como siempre la invitación y, sobre todo, a este caso, la Fundación integral. La cátedra y a amigo Julián sí que me enganchaba aquí a estas reuniones, llevamos, yo creo que ya unos cuantos años de colaboración, si en este caso somos un grupo fundamentalmente dedicado al tema tecnológico, pero, bueno, desde hace ya unos años no ha empezado una colaboración, en este caso, con Facultad de Derecho en concreto, con concluyan en los temas que tienen que ver con el impacto que tienen que la aspectos legales también en todos los desarrollos tecnológicos, no venían al caso que comentaré no que un proyecto en el cual, pues nos surge una duda, algo que no pensábamos que tenemos que tener en cuenta y que resulta ser de que al final Pues claro, y es importante tener en cuenta cuando estamos hablando de Protección de Datos, no gestión de datos, etcétera. En cualquier caso, lo que sí un poco alineado con lo que ha dicho el vicerrector y lo que ha dicho Javier hace un momento, si yo creo que él un aspecto importante es se consiente a la gente, que estamos en un cambio fundamental. Si estamos en un momento yo creo que importante, porque estamos transitando transformando la sociedad fundamentalmente tengo pasando de un mundo mixto o digital, al analógico a, prácticamente un mundo digital donde claramente surgen nuevos retos. Esos retos pueden generar miedo, pero bueno, yo entiendo que muchas veces más que son retos que hay que abordar, es decir, y hay que estar preparado, y yo creo que este tipo de contactos multidisciplinares que están produciendo, que se producen cada vez más, yo creo que son fundamentales para intentar abordar todo ese conjunto de retorno, y ese ese proceso de transformación, como comentaba antes ahora mismo, implica que cada vez más es necesaria esa multidisciplinariedad en la actuación, no sobre todo hablando de informática, sin sea jurídica, sino que mucho más general. Estamos hablando de humanidades, el impacto que tiene toda la sociedad hace poco, por ejemplo, hemos tenido una reunión sobre temas de transformación digital y el impacto social, por ejemplo, el sentido de. No soy todo a personas con menos posibilidades, por ejemplo, en sentido. La pobreza digital que se está produciendo, es decir, el desfase que está produciendo, díganlo así en este momento, que hay que intentar solventar a través de tono de inculcar y ampliar el espectro y el paseo no de colaboración, porque al final, pues afecta a muchos ámbitos de la sociedad, no, pero el pueblo ante casos ya en la que se ha ido transformando ahora mismo necesitamos un mundo que va cambiando y en el cual es muy importante tener en cuenta. Eso, como he dicho antes, no lo eran lícitas faceta, no necesito aspecto que se tienen en cuenta cuando esta se está desarrollando en la evolución tecnológica y, como he dicho antes, lo importante aquí ahora mismo es ese puesto de la digitalización. Ahora hay. Es digitalización en cualquier sitio. Si tenemos digitalización en la fábrica, tenemos digitales, digitalización en la universidad, tenemos digitalización en las tasas, tenemos digitalización en las relaciones sociales, básicamente. No sé si todo eso está generando, obviamente, que surjan nuevas situaciones que obviamente no estaba, como se ha dicho hoy bien dicho antes no estaban previstas y hay que empezar a construir y proveer de herramientas. Parte de esa herramienta son digitales, pero otra parte de esa herramienta también son normativas, no como se ha dicho, y en ese sentido por Europa, dentro de lo que cabe, digamos, y quizás se encorseta en muchos casos demasiado, pero bueno, por lo menos digamos si crea un paraguas en ese sentido que da soporte a ámbito social, que muy importante. Yo lo que sí que quería comentar, es decir, varios ámbitos para qué? Para que veamos ese impacto nuevos y mucho de ello tan relacionado con proyecto, que ya se lo hemos participado o que estamos participando y que no han hecho. Díganlo así? Pues identificar no, esas distintas tipos de necesidades, no de colaboración y multidisciplinar y como he dicho antes no solamente ámbito público, sino que si es eso sea lee humanidades y ahora últimamente, por ejemplo, incluso en el ámbito de las ciencias biológicas, no en el sentido, y quisiera el primero de ello es más sencillo el tema de la identidad. Tuvimos hace poco a la cátedra no de identidad quizás es 1 de los cambios primero y más más inmediatos, que todo el mundo ETA está sufriendo ese tamaño ya citado, pasando de una identidad basada en documentos ser intervenida, en papel por llamarlas de alguna forma, no a una identidad digital y tal, el cual todos hacemos uso de este caso, pues se mecanismos de certificación de significado de ese entera, pero que al mismo tiempo ahora hay un movimiento claro a nivel europeo de que haya una identidad europea digital, y ya no pasamos del modelo nacional al modelo transnacional, donde se supone que vamos a tener una identidad. Pero, claro, la identidad de esa puede tener mucha formas. Puede tener muchas, muchos perfiles diferentes en ese sentido, porque ya pasamos de una estructura fija y prestablecida a una estructura digital que es dinámica, que no permite presentarnos de diferentes formas en función del servicio, en función de qué queremos hacer, con quién queremos dialogar, que queremos que se sepa de nosotros y, por lo tanto, empezamos a cambiar el modelo, que nos empoderamos al usuario, este caso al ciudadano a la hora de decidir que quiere ofrecer, y ese cambio es radical, porque pasa a ser de que yo soy dueño de mi identidad y de todo lo que me rodean, esa identidad, mis datos ahora mismo nuestros datos pertenecen, por decirlo de alguna forma, a gobiernos, a los hospitales, a instituciones, pero el problema es que esos datos son míos como tal. Lo cambiamos un paradigma en el cual del dato está en otros sitios. Aquel dato, este ligado y controlado por mi es básicamente el principio de la soberanía digital y de la identidad. En este caso al final eso es un modelo que es un cambio radical, pero también tiene, por lo cual tiene ventaja, pero también tiene su vez su inconveniente. De sí, ya que tengo ese poder como controló ese poder o como provee o dispongo de herramienta que me permiten hacer uso efectivo de ese empoderamiento sentido, porque, claro, lo más fáciles tengo mis dato y vuelvo a la misma situación. Mis datos están por ahí dan Sando porque lo dejo a todo el mundo, pero si no quiero y quiero tener capacidad de controlarlos, tengo que tener mecanismos de control. Surgen así las tecnologías, ahora de gestión de privacidad, en los datos que permiten que el usuario disponga de herramientas que le permitan controlar eso, pero eso está también ligado muy ligado, y ahí voy ligando a la parte jurídica con que muy bien yo tengo las herramientas, yo tengo que identificar cómo proveer y a quien proveer esos datos, pero tengo que saber esos datos. Se lo voy a dar a alguien que es lo que va a ser esa persona o esa entidad con mis datos, y ahí surge todo el tema de la Ley de Protección de Datos. Los mecanismos de cumplimiento y regulación de la y de cómo son datos posteriormente son realmente gestionado por esas entidades. Una vez que yo yo los lloros liberaron, porque ahí se produce un problema fundamental. Es decir, yo quiero que me he dado tan controlado, pero quiero saber qué mirado también están controlado. Una vez que yo los liberó, sé que el gran problema es inmediato, sale de donde yo lo tengan más Senado para pasar a una entidad, este caso una plataforma, le pongamos un genérico, y esa plataforma, que va a ser con esos datos, hay alguien que controle, que esos datos van a ser usado tal y cual yo había testificado en ese sentido o va a manipularlos, va a cambiarlos y va a reutilizarlos en tercer a Asia terceros, sin control por mi parte, todo ese ese cadena. Si hay una normativa que surge, pero ahora hay que dotarla de herramientas, queda todo en papel muy bonito. Se supone que puede haber una inspección, pero, bueno, también podría haber mecanismos que permitiesen que ese proceso que estoy diciendo tuviese monitorizado o controlado a cierta medida por el usuario que yo pudiese saber similar en un momento determinado, ha sido usado para un objeto concreto o una actividad concreta, que, a lo mejor yo no tenía. Yo no había autorizado originalmente no sea esa cadena la gestión de esa cadena del dato. Ahora mismo es fundamental y es una de las piezas clave en la que se está digamos, y trabajando en combinación este caso con cómo la normativa de la identidad digital que ahora se quiere realizar, cómo podemos proveerle de herramientas, tanto este caso al usuario como a los a las instituciones para poder controlar todo ese tipo de procesos, y eso implica un diálogo muy importante entre las diferentes facetas otra parte tecnológica, pero también la parte legal, porque ahí hay problema también relacionado con el lícito tratamiento que tienen los datos en función de los países, por ejemplo, o sea, el hecho de la transnacionalidad y acabamos hablando de una de un dato. Ante una identidad europea, es decir, el trato del tratamiento del dato es diferente en función de diferentes países y, por lo tanto, tiene que haber una armonización o un acuerdo que cuando mi dato pase una frontera o pasearse a un servicio en otro país tenga que adaptarse a la nueva normativa que hay en que hay en esa otro país. Usted hay todo un proceso detrás de esto que yo creo que es complejo, pero que muy interesante, porque al final abre, digamos, un abanico nuevo de problemas retos. Qué problema hay? Problemas de que algo negativo no es si son retos, son reto que surgen porque antes no existía esa posibilidad, básicamente. Es decir, por tanto, toda esa línea ligado muy importante, y yo, y otro ámbito que ETA indirectamente. Ligado con ese aspecto, está con el hecho con el digamos, Europa apuesta, Europa ha perdido en cierta medida la la carrera por el, por la, por las plataformas de gestión de datos. Básicamente sabemos que la grande, pues no están en Europa, pero por lo menos quiere Europa ser capaz de estar a la vanguardia en 2 ámbitos. Una, en lo que es la los modelos de datos y lo que es el espacio de dato, una normativa que permita facilitar que esos intercambio que acabo de decir se puedan realizar y, por tanto se está creando lo que es la espacio europeo de ver de datos que permita, de alguna forma identificar una arquitectura sobre cómo se deben compartir datos en este caso a nivel a nivel europeo y que permita que a su vez todo esté regulado, como he dicho anteriormente por por la parte normativa que identifiquemos esos intercambios, cómo se deben realizar, cómo se realizan los controles, cómo se pueden realizar la lo proceso de acceso a esos datos, etcétera. Como he dicho antes, por lo menos en parte del modelo de dato, yo creo que la parte del paseo de datos ahora mismo es claramente una apuesta europea de hecho se acaba, se acabase hace unos meses, se acaba de generar lo que se llama un modelo convergente en el cual las grandes infraestructuras europeas de caso formada por Gaia ex por, por fallar y por otras instituciones, han acordado una especie de modelo básico que identifique desde cómo se representan. Los datos deberían representar dato para que sea interoperable, cualquier dato de cualquier entidad que quiera compartir con otro en ese sentido al almacenamiento, a los procesos de recogida y distribución de esos datos y también, obviamente, lo que tiene que dar es cómo ligar esa información con la identidad que he dicho anteriormente, de si la idea, que la identidad europea como mecanismo de identificación y de definición de cómo un usuario quiere compartir son datos, tiene que estar embebida dentro de esa arquitectura, por lo cual al final tal usuario, que es el poseedor del dato y tenemos la arquitectura que permite, como es el dato, va a ser compartido y eso armonizado a todo a nivel europeo. Todo ese ámbito, como he dicho anteriormente, requieren sabiamente el que haya, pues es un conjunto de aspecto normativo que tienen que ver con cómo se hace la gestión y la privacidad del dato, pero también cómo se responde ante incidentes, de posibles malos usos de esos datos o posibles ataques que se van a realizar esos datos y las ciberresiliencia de todo ese clima que estamos comentando, si tiene que estar también controlada, porque, si no, al final vamos a tener ahí un problema de muchos datos, mucha información, pero ningún control ni ningún mecanismo de respuesta, no ante posibles incidentes, una pieza más adicional que está ligada con todo este proceso que he dicho antes, he hablado de usuarios, siendo individuos, pero como se ha dicho anteriormente estamos en un mundo ya hiperconectado, es ir todo tipo positivo partiendo por otros móviles en nuestra casa, con la televisión, con la ONT, con los sensores que tenemos y que tengo conectada está proveyendo datos y, por lo tanto, representan una fuente que hasta hace mucho no estaba contemplada, digamos, así dentro de la filosofía de elemento que compartían datos en ese sentido. Por lo tanto, es muy importante, y ahí hay otra parte que tiene que ver con la, con la, con la nueva normativa, si con la parte que tiene que ver con con la regulación de compartición de esa información, es eso ni positivos, que van a ser parte y que son parte de nuestro día a día y que se utilizan y que están proveyendo datos en muchos casos en nombre de nosotros, va a ser básicamente porque el móvil que llevan ustedes es de ustedes, pero está prohibiendo datos de ustedes y de alrededor en muchas y muchos casos de desindexar manía de algo que ha detectado por bluf, ese necesitando provista, dando información sobre qué pasa en nuestro entorno. Esa información, como he dicho antes, tiene que estar controlado, también el sentido de que tiene que estar integrada dentro de la normativa que he dicho anteriormente. El hecho de son datos. Muchos hechos dado, son datos personales, que son, que yo quiero o no quiero compartir y tengo que tener el mecanismo de control y de definición de cómo compartir esos datos en sentido. Entonces, 1 de los proyecto concreto, por lo que tampoco concluya últimamente, va de la parte que tienen que ver con la arquitectura de seguridad y de gestión de la privacidad en el escenario de Internet de la cosa es si esos dispositivos que debo hacer para que ese dispositivo, que yo lo sitúo en un contexto como puede ser, este se pueda gestionar de forma segura su funcionamiento. Punto número 1, para evitar que sea posible punto de ataque, pero al mismo tiempo, cuando comparten información esa compartida está impartiendo formación, esté controlada, está regulada por un conjunto de reglas; que alguien haya delimitado, sea el usuario, sea el gestor del entorno, sea el que sea, transformada, de, que solamente se pueda compartir aquello que está autorizado a compartirse; y si alguien me requiere un dato yo compruebe que hay quien lo está requiriendo; está autorizado para recibir ese dato, y eso o hecho antes integrado dentro de una Ley de Protección de Datos dentro de un conjunto de raíz de la que yo quiero definir cómo hacer que sea privado, por ejemplo, cierto de esos datos, etcétera. Todo eso implica que haya una regulación importante que hay que han de entender y que hay que aplicar y saber cómo aplicarla. Obviamente, como se ha dicho anteriormente, el técnico muchas veces el caso que ponía antes no es cuando 1 de los primeros proyectos que tuvimos a nivel europeo, que la tema de sensores era ponerse, era para temas de eficacia energética, y eso lo recogíamos, información de temperatura, de o habitaciones. Claro, inmediatamente vino alguien de ámbito ético. Dijo. Bueno, muy bien, pero si es así esa habitación solamente está ocupada por una persona, automáticamente sabes si esa persona, cuál es su comportamiento, saber cuándo entra, cuando sale, si está, si no está, por lo tanto, esa persona que tiene que autorizar a saber porque está saliendo al poder que no te autorizado a realizar era sencillamente para nosotros. Era un sensor que recogía dato de temperatura. Para nosotros sea, no es una persona que está detrás de ese ascensor. Ahí esos impactos, ese aspecto que en principio cada vez más son más importante, forman parte, digamos, y de todo esto desarrollo he dicho antes de necesidad de la multidisciplinariedad y y por último o por ir abordando el tema es en todo este escenario que he comentado. Hay una última variante que se ha comentado anteriormente que es además el hecho de ahora, la aparición de la inteligencia artificial, Internet, ya que ya ha existido de toda la vida, me refiero al final, el procesamiento de los datos, la inferencia, la clasificación, etcétera, asistido y si y tan desarrollado desde hace mucho tiempo la diferencia fundamental que ahora es totalmente accesible. Si ahora cualquiera antes era control de máquinas, solamente persona muy experta, ahora es una herramienta que está ahí igual que se ha dicho antes, no igual que el web, la web, que fue una transformación y parecía que ya todo ahí va a ser ya todo estaba descubierto ahora con la guía, pues exactamente igual, tan con una capacidad y una potencia que permite que eso ya accesible muy fácilmente a cualquiera, no, lo cual también tiene su subsuma sus implicaciones, como se ha visto a más. Habrán visto la noticia últimamente, no el tema de la chica con el tema de los nudos y mucha otra cosa más, y ahora la capacidad que tiene cualquiera un niño de hacer uso de esta tecnología para, con chapa, CPT, sacaron un comentario de texto por llamarlas de alguna forma el taller tan disponible y accesible por cualquiera. Ese es el gran cambio que se ha producido en el programa. Ahora vemos cómo regular eso, como, como sabe y como delimitar, que lo que se está haciendo al final pues sigue unas normas éticas que fases que permitan que de alguna forma pues se pueda utilizar de una forma confiable, y eso es parte, por ejemplo, de otra de las regulaciones que están trabajando ahora mismo si la normativa sobre el uso de la vía concretamente en el sentido de Europa ha sido también pionera, es otro de los ámbitos lo que quiere ser pionera es fundamental, no es si es intentar crear una norma, el sentido que permitan que los desarrolladores de software pero también aquellos que lo usen tengan de alguna forma una serie de normativa, ligada la ligada al mismo y, como he dicho antes, eso ya existía anteriormente único, ya que ahora es la potencia, no es y, de hecho la capacidad de, como he dicho antes, coger datos, vuelvo al ejemplo de los sensores del hogar desde la habitación, no el hecho de coger el sensor lo son datos y ser capaz de inferir a partir de esa información el hecho de que hay un comportamiento de una persona que habita esa. Ese lugar, esos en aplicación de la guía te caso a unos datos, sé si el dato como tal no dice nada. Lo que dice algo es el tratamiento de ese dato, que es el que permite a generar esa indiferencia que me permite generar un nuevo conocimiento y ese nuevo conocimiento estas, el que genera, díganlo así. El aspecto de privacidad rompe la privacidad, pero como tal el dato originalmente no es tal hecho ese de pasar de un dato a un conocimiento nuevo que no estaba originalmente indicado en el dato original para el que estaba pensada el dato original en la parte clave de todo este proceso, es decir, ser capaz de generar nueva información que originalmente no estaba contemplada y que de alguna forma ahora, pues da a da un nuevo tratamiento, una posibilidad de un nuevo tratamiento que aquel que se vea afectado debe saber que puede, puede ser el caso para ellos en ese sentido, con lo cual esa parte, como he dicho, es muy importante a la hora de gestionar. Todos es todo esto ámbito, como he dicho antes, son ahora mismo. Son aspectos que en gran parte de los proyectos se designan y ahora mismo Europa está muy focalizada en proyectos que tengan que ver cómo se usa la guía, cómo se usa, como y cómo contrarrestar el uso de la vía inadecuadamente. Imparte que quiera, pero lo importante es decir, ser capaz de identificar si alguien está siendo haciendo uso de la vía para un mal uso del Bitel, hace del mismo. El hecho de cómo comprobar que los sistemas, concretamente, por ejemplo los sensores o los sistemas informáticos, son seguros básicamente si cumplen una normativa. Ahora el problema está en que yo compro una buena barato y no tengo ni idea si cumple o no cumple a requerimiento de sir de seguridad o de privacidad y se quiere desarrollar una normativa en caso de ser tipificación que permita identificar que esos dispositivos son seguros con un cierto grado que estaban definidos. Eso implica, como he dicho a su vez para andar testear y contrastar esa cuestión con respecto a una serie de no y, como he dicho ya, para observar cómo el hecho todo esto está ligado con el conjunto de normas que se han dicho anteriormente. Si la ventaja, ahora mismo que hay un cuerpo que se está desarrollando este caso, como he dicho anteriormente, es el de redes y sistemas, que es el Mis, la parte de identidad digital, la parte que tiene que ver con normativa de ley a la parte que tiene que ver con la base de datos, es decir, hay mucho trabajo porque justamente estamos abriendo el campo. En ese campo es donde necesitamos esa colaboración y multidisciplinariedad para poder realmente resolver esos retos que yo creo que son nuevos, pero también son muy interesante porque van a ser lo que van a cambiar la sociedad en los próximos años y nada y siento por haber oído. Muchas Gracias a a continuación. Dolor no va a comentar. Suponen buenos días a todos y a todas. No he escuchado bien sí bueno yo en primer lugar como procede hay que agradecer Tengo que agradecer a la Facultad de Derecho haberme invitado a participar en esta sesión y en concreto a mi compañero o amigo, a profesor Julián Valero. Creo que es la tercera vez durante este curso que estoy aquí ya casi, pues es como una casa. Para mí bueno se han dicho ya muchísimas cosas. Se supone que yo os tengo que incentivar para que la vincula es la seguridad digital o la ciberseguridad a los estudios de derecho, y primero cuento aunque me estén grabando, como empecé. Yo con ciberseguridad y yo empecé porque creo que esto es importante. Me pidió un chat, voto un voto; en un chat me sumaron a lo que se hace habitualmente a un grupo de WhatsApp, sin mi permiso. Yo soy aficionada a la citada, a la fotografía, y era un grupo de WhatsApp que se intercambiaban conocimientos de fotografía, y ahí conocí a una persona con la que estuve durante 24 horas conversando a las 32 horas. Me di cuenta en el sofá de mi casa que eso no era una persona por el tipo de preguntas que me hacía. Termino ya darme cuenta cuando lo hacen con la mañana. Me volvió a mandar un mensaje que quiero totalmente electrónico, y yo me fui a la Policía. La primera sorpresa fue que en mi caso no voy a decir el cuerpo policial. Me tomo como sí estuviera ahí como una cosa rara que le estaba contando yo, que alguien había intercedido en mi teléfono y que probablemente lo que quería era causar algún tipo de actividad criminal y, por lo tanto, yo soy víctima de ese acto criminal, me fui a otro cuerpo policial y medio absolutamente toda la ayuda, y cuando llegué a clase, al cabo de un tiempo lo conté a mis estudiantes, porque normalmente, cuando sucede esto es que nos avergonzamos de haber sido víctimas de una especie de ciberataques, nos pasa a las personas y les pasa a las empresas las empresas. La cuestión es el prestigio y a las personas es yo como podía haber sido, como sucede en otras cosas en la vida objeto de este tipo de actuación. En mi caso no sucedió nada sencillamente a la policía tiene una redacción de números de teléfono que se dedican a estas cosas, y no fue. No fue más la la cuestión, pero ahí me abrió un mundo, que es la ciberseguridad. Yo hice mi tesis doctoral sobre seguridad industrial, ejercicio privado de funciones públicas por parte de entidades privadas que ejercen funciones que son del Estado, pero ante la complejidad tecnológica, tienen que trasladarse al sector privado, que es exactamente donde existe ese conocimiento. Relación norma jurídica con norma técnica básico lo resumo. Significa que yo estudiaba en ese momento, no estaban estos smartphones, pero yo estudiaba si hubiese sido a día de hoy que este teléfono móvil no se calentara y no me explotara seguridad industrial, física, verdad que no me produjera un daño ahora estudio, que este teléfono no me espíe por las noches no graven ni mis imágenes, ni mis datos me voy siguiendo. Yo me he preparado un texto que ya tengo publicado, pero seguramente no voy a contar nada. Lo que tengo escrito, Julián, que me conoce, sabe que soy así porque porque creo que tengo que tener una atención suficiente, igual que el resto de compañeros para que veáis la importancia de lo que estamos contando, hoy se ha hecho muchísima referencia antes a la protección de datos. Yo le pregunto si a mis estudiantes y a mi sobrina, que no tengo hijos. Pero tengo una sociedad como si fuese Benja, con la que viajo mucho por el mundo, y siempre le digo, para ti que es un dato personal Para qué? Vosotros, cuando se son vuestros datos personales, porque la noción que tenéis vosotros, los jóvenes, que sois personas y muchísimo más digitales, que casi todos los que estamos en la mesa, tenemos una opción totalmente distinta, el derecho fundamental a la protección de datos de carácter personal es un derecho configurado a partir de un momento concreto y es un derecho fundamental fijarnos como juristas primer derecho importantísimo el Constitucional y derechos fundamentales y libertades públicas que está con la digitalización, cambiando constantemente. Yo creo que ese es el enfoque que tenemos, porque es lo que tenemos, y Europa tiene eso, que son los datos. Para mí hay otros bienes jurídicos a proteger que no son solo los datos. Esta somos juristas, yo soy jurista con quién trabaja y con quién debemos trabajar. Los juristas, ante los riesgos de la ciberseguridad o seguridad digital debemos trabajar y yo trabajo con criminólogos, es esencial, porque debemos saber identificar cuáles son las situaciones de riesgo, identificar las víctimas e identificar las conductas que llevan a generar este tipo de actuaciones, porque, ojo, no vamos a discutir en la mesa, probablemente creo que no, sobre qué entendemos por ciberseguridad, porque para los juristas ciberseguridad no es solo seguridad, informática, es muchísimo más que la seguridad informática, hasta tal punto que os diría no solo juristas, no solo criminólogos, también humanistas, no los filósofos, porque la ética está ganando terreno al derecho al reglamento europeo de inteligencia artificial. Es más ética que derecho, ojo! Con eso. Los juristas estamos perdiendo terreno ante la tecnología y también ante la ética, y por lo tanto yo creo que debemos recuperarlo en ese mundo multidisciplinar, pero yo también creo, porque es otro gran reto del nuevo Estado, que yo ya lo defino como un Estado híbrido. Se ha hablado ya en un primer momento de la politización. Estamos hibridar no sé cómo se llama en castellano, me sale la FP1 el catalán y priorizar Estado híbrido, no personas híbridas. Nosotros hace muchos años no teníamos 2 vidas, no teníamos una vida en un mundo analógico y una vida en un mundo digital, no y ahora constantemente vivimos en esos 2 mundos. El Estado también vive en esos 2 mundos. Todos vivimos en estos desmontes os decía juristas evidentemente técnicos ingenieros informáticos etcétera juristas que estamos los que estamos perdiendo terreno, el derecho pierde terreno ante la ética y ante la tecnología criminólogos, y también, pues yo diría las ciencias médicas, no, porque esa hibridación está ya en la cibernética, que esto es, es la aplicación de elementos tecnológicos en el cuerpo humano, los 2 grandes retos de este Estado híbrido, no un Estado constitucional, social y democrático de derecho, todo esto está enlazado con la ciberseguridad, tiene otro reto, que es el cuerpo humano. Nunca antes el ordenamiento jurídico, en España y en otros países había tenido como objeto la regulación del cuerpo como un elemento biológico, y hay un debate entre los juristas. Sobre qué titularidad tenemos nosotros respecto a nuestro cuerpo. Eso se genera ese debate también cuando durante la COVID nos podían haber obligado a inyectar una vacuna. Digo esto porque la hibridación de técnica y cuerpo humano es también un reto para el Estado. Por lo tanto, fijaros la multidisciplinariedad de elementos que encajan ante lo que es la digitalización o automatización. Para mí digitalización. Ahora automatización con la aplicación de la inteligencia artificial es ciberseguridad. Se habla de multidisciplinariedad, pero los que sois estudiantes de derecho o si hay de otros estudios vinculados a las ciencias sociales al menos en derecho yo lo que estoy detectando es que también es necesario para afrontarse a estos riesgos del ciberespacio a la intersección entre distintas disciplinas. Es decir, acostumbramos en los planes de estudios como talentos estancos, a explicar derecho administrativo, derecho constitucional, derecho penal, derecho civil y los retos de la sociedad digital. Que esta transición digital nos obliga a que un determinado supuesto están entrelazados. No, a lo mejor no era, nos lo contara más. Está entrelazado muchísimos distintas ramas del derecho Cómo afecta para ir avanzando? Cómo afecta la digitalización en la ciberseguridad? En el ámbito más jurídico? Para entendernos. Os decía yo empecé con la suya industrial y ahora estoy con la ciberseguridad. Pero fijaros que la ciberseguridad, como decía la ciberseguridad industrial significa. Antes el profesor Valero lo apuntaba. La garantía de nuestra seguridad jurídica. Nuestra intimidad, protección de datos es un elemento tecnológico. Es este elemento el que en realidad está garantizando, que a mí no se me esté vulnerando derechos fundamentales. De ahí que el tecnólogo tiene que saber exactamente qué derechos fundamentales estamos haciendo referencia, no solo protección de datos y tiene que tener en cuenta cuáles son las garantías ante determinados riesgos. Pero, es más, hay 2 elementos claves y ayer fue una antelación hay, intentaba comentarles, lo estuvimos hablando, que es la cuestión de la responsabilidad en caso de daños, fijaros, en inteligencia artificial. Seguramente a día de hoy, y a lo mejor me equivoco en casi todo a día de hoy en el ámbito de conocimiento de la inteligencia artificial, seguramente no habrá habido en los últimos años ningún elemento que tenga tal cantidad de creación de conocimiento como consultó todo. El mundo está estudiando inteligencia artificial, casi todo el mundo, todo el mundo es mucho decir. Casi todo el mundo está estudiando conocimiento generando conocimiento en inteligencia artificial, pero no es un conocimiento colaborativo, no es en principio un conocimiento colaborativo, al menos en derecho. Todo se apunta a ver cuál es el primero que explica algo distinto. No, ese es un problema porque la máquina, el que genera la inteligencia artificial, no hace eso, la competencia es totalmente distinta, es en el avance y nosotros, los humanos, los académicos los dedicamos a veces a ver quién es el primero en sacar al algo novedoso en ese tema, y eso es un perjuicio. Os decía cuál es una de las instituciones jurídicas que estudiamos en casi todos los ámbitos, que es el de la responsabilidad. Fijaros la responsabilidad no sabéis bien. Puede ser una responsabilidad. Sí vi de daños. Quien responde ante un daño causado por un ciberataque, si es durante la prestación de un servicio público, que es lo que a mí me interesa prestación digital de servicios esenciales, sea por empresas privadas, sea por empresas públicas; cuando haya un daño, un ciberataque a una universidad, a un hospital, a un servicio de agua potable, como les pasó a los norteamericanos en el XXI. Lo que se alteró por vía electrónica, la potabilización de aguas. Quiero decir que se puede matar a una población entera. Si se hace un ciberataque al suministro de agua potable, me voy siguiendo responsabilidad. Hay una responsabilidad por daños que puede ser una responsabilidad civil, pero, claro, vosotros sabéis bien que ese tipo de responsabilidades en el ámbito civil se aseguran. Hay una compañía de seguros que va no asegurar cuál es el riesgo digital que podemos asumir, y ahí tenemos el primer problema, si las empresas cumplen o no con ciertos requisitos de ciberseguridad o no. Y qué hacen las compañías de seguros en Estados Unidos? Básicamente el cumplimiento normativo. Este compliance que hemos introducido casi acríticamente en España no de que las empresas deben hacerse cumplimiento normativo, eso proviene de los norteamericanos. Lo cuento muy rápidamente. En Estados Unidos prácticamente a quién le interesa que cumplan la ley no es a las agencias norteamericanas que le interesa que cumpla la ley. Son las compañías de seguros, que son los que luego si vosotros no comparece, no cumplir con las normas son los que van a tener que pagar sus compañeros. Dicho de una forma muy rápida, entendéis eso, responsabilidad civil por daños, pero si son daños colectivos, fijaros que la digitalización y la automatización e Inteligencia Artificial, general, al que se ven ahora, es el mundo de las reservas. Me encanta ante una cuestión de las reservas, reservas energéticas, no hay energía, no hay energía suficiente para la digitalización, no la hay. De los costes más elevados de incidencia ambiental que hay ahora mismo en el planeta es la digitalización. Eso no se cuenta, pero es así o se cuenta un poco, pero existe la reserva de humanidad, la reserva humana no ante estos artilugios de inteligencia artificial, responsabilidad, por lo tanto ante daños colectivos porque puede ser y estamos en un Estado social, que un ciberataque por falta de adopción de las medidas necesarias de una institución pública para mantener cierto grado de ciberseguridad causa unos daños y esos daños tienen que socializarse de una forma u otra responsabilidad penal evidentemente. Luego hay otro tipo de responsabilidad ante los ciberataques. No. La responsabilidad penal también puede existir o algún tipo no voy a entrar en ello de responsabilidad en el ámbito administrativo, esto es la responsabilidad. En el caso de las administraciones públicas y fijaros, vosotros os explicaron seguramente no sé en qué curso académico ya del grado en derecho, pero existe una regla general, que es que a 1 el desconocimiento no nos exime del cumplimiento del derecho. Suena eso el hecho de no conocer el derecho no nos exime de su cumplimiento. Esto pasa un poco con estos delitos ahora vinculados de utilización no de la inteligencia artificial, pormenores, etcétera, etcétera, porque a veces no se sabe en realidad que 1 está cometiendo un delito, por eso falta muchísima cultura sobre la ciberseguridad y cíber la criminalidad. Pero fijaros antes nos decían esto. Decíamos bueno porque en realidad el que va a aplicar esta regla general el hecho de que no conozca la norma no exime de su cumplimiento resulta que ahora ni el regulador ni el legislador sabe exactamente cuál es el contenido exacto de esa regulación. Por qué? Porque remite a normativa técnica relacionada con la ciberseguridad. Normas técnicas, pero es que esas normas técnicas lo simplifico muchísimo, es muchísimo más complejo. Esas mismas normas técnicas que tienen que controlar el aplicador del derecho, remiten a una tecnología que por sí sola avanza a pasos agigantados, que el derecho no puede alcanzar; es más, es un tipo de tecnología la inteligencia artificial que puede tener vida completamente propia que hizo que está haciendo la Unión Europea. Ante eso, con el reglamento de inteligencia artificial y los riesgos de ciberseguridad. En materia de inteligencia artificial había un gran debate vosotros, como juristas. Sabéis que el debate, el objeto del derecho a efectos también de responsabilidad es que es un algoritmo, un sistema neuronal de inteligencia artificial, dado que genera inteligencia le podemos otorgar personalidad jurídica y por lo tanto ante el derecho va a ser titular de deberes y obligaciones o lo convertimos como ha hecho en principio la Unión Europea en un producto industrial. Si es un producto industrial significa que su uso puede causar daños, pero que esos daños, la responsabilidad por esos daños va a estar distribuida en una especie de trazabilidad; el que diseña el que produce, el que distribuye y el que aplica o usa factor humano la mayor parte de la mayor parte un número elevado de supuestos de cibercriminalidad, de ciberataques, procede de lo que se denomina en criminología el factor humano, es más, la propia directiva de ciberseguridad alude expresamente al factor humano lo hace también la directiva y la propuesta de reglamento en inteligencia artificial. El uso que hacemos nosotros de este tipo de tecnología, que ahora tenemos más en abierto, porque al final la ciberseguridad tiene que ver con nuestra propia responsabilidad y ya me están mandando aquí el tiempo, sintetizo no digitales hacia la automatización es ciberseguridad. Para los juristas, ciberseguridad no es solo seguridad informática, es muchísimo más hasta tal punto que el Estado, como lo conocemos, el Estado actual, social y democrático de derecho está en peligro ante la digitalización y es objeto de medidas de ciberseguridad. Nos tengan que contar nada con las calles Neus y la utilización de las redes para modificar, por ejemplo, resultados electorales; a día de hoy una de las plataformas que se está intentando articular a simuladores de ciberataques son las plataformas para el voto electrónico, porque podría, evidentemente alterar el resultado. Por lo tanto, el Estado de derecho ante este panorama es también un objeto a proteger. Finalizo si me lo permitís, se ha hablado mucho de la investigación. Es verdad que la investigación debe ser multidisciplinar. Evidentemente. También los estudios a jurídicos lo deben ser, pero los estudios de Derecho, como gran cantidad de otros estudios de las ciencias sociales, que son las más afectadas porque perdemos terreno, como decía al principio, quiero decir que bueno, a vosotros lo contaréis mejor y luego no el debate lo podéis decir con sinceridad, no. Si a vosotros la digitalización no digo ni que esté bien ni que esté mal; pero ha cambiado completamente la forma de estudiar y la forma de adquirir conocimiento. No digo ni que sea algo bueno ni que sea algo malo; pero el hecho de que tenga es en ocasiones la atención dispersa. Eso es lo que hace la digitalización, dispersar no la atención y, por lo tanto, dispersar también el conocimiento. Eso es algo que ayuda o no a la multidisciplina disciplinaria, data y, por lo tanto, yo creo que eso es una cosa que vosotros mismos nos deberíamos preguntar. Nada más. Muchas Gracias. Gracias. Ya damos paso en último lugar a Nuria Martínez. Bueno, yo también quiero quiero agradecer a la cátedra ya, Fundación Integra y a Julián, darme la oportunidad de estar aquí y contaros mi mi experiencia como profesional de derecho en este campo, a todos vosotros y sobre todo a ver si consigo transmitir los cuales mi día a día no y que cuando me preguntan qué es eso no de ser una abogada especialista, nuevas tecnologías, una consultora, pues me dicen, pero que hace no, que es eso, que es que realmente lo que hace yo digo es que soy una abogada híbrida así un poco, un poco extraña porque nada tiene que ver cuando yo estudiaba derecho, que ya hace unos años en el que yo creo que cuando empecé a estudiar en la carrera se metió la asignatura de Derecho, Internet poco más y era todo como muy abstracto muy teórico a nosotros nos costaba. Al principio entender todo esto y había muy poca orientación no es como vuestro caso, que tenéis muchas oportunidades y a la parte es decir, ya soy, es, estáis en una era tecnológica que nada tiene que ver con nosotros. Está claro que todos somos conscientes al menos lo que yo he vivido, no las repercusiones de la informática. En el derecho está claro que cada vez son más intensas, más extensas, pero a la inversa yo diría que también, es decir, como se estaba comentando también al final, cómo influye un profesional de derecho a un jurista en la vida de un tecnólogo o no, como se comentaba, 1 de los principales retos que yo, que existen jurídicos, es el avance de la nueva tecnología, como estaréis viendo todos vosotros que estáis estudiando, crecen tan rápido. Es decir, las tecnologías se desarrollan tan rápidamente que a veces lo que se al propio derecho, a las nuevas tecnologías le cuesta mucho lo que es mantenerse al día, es decir, la complejidad que estamos viendo de las propias tecnologías. El avance que está habiendo tan constante de las nuevas tecnologías que crecen tan rápido, pues esto está suponiendo que, que, bueno, que el profesional del derecho tenga pues unos conocimientos más sólidos sobre las tecnologías emergentes que existen y las leyes que lo rigen, no, porque no hay que olvidar que nuestra meta siempre tiene que ser brindar; confianza, seguridad lo que es en el mundo digital y en el uso de todas estas nuevas tecnologías. Para eso estamos y entonces, como sabéis, a mí todo esto no me vino de fábrica, yo era una abogada y he tenido que ir formándome y labrando mi camino para poder comunicarme con un técnico que no ha sido nada sencillo, lo tengo que decir. Entonces también. Bueno, también nos estamos encontrando que oye, que ellos también lo necesitan, es que todavía sigan habiendo que lo estábamos comentando, grupos muy técnicos a día de hoy, que necesitan, evidentemente, personal muy especializado y cualificado, lo que es en Gobierno riesgo y cumplimiento para poder hacer frente a todas estas amenazas que estamos comentando. De hecho, cada vez más es la integración de los perfiles de cumplimiento en estos equipos de csic, que son de equipos, de respuesta ante incidentes, y de eso no de operaciones de seguridad, y aquí es donde yo veo que hoy en día estamos aportando muchísimo valor, muchísimo valor a todos estos equipos, y aquí es donde yo, por ejemplo, voy a transmitir los cuales mi día a día y mi experiencia y porque creo que estamos aportando muchísimo valor, voy a dar a aquello ya una, una visión un poquito más práctica, por ejemplo, en que estamos nosotros participando, no con conjuntamente. Pues una de las primeras cuestiones es la respuesta ante un incidente de seguridad. Bueno, todo eso imagino que ya sabrán lo que es un incidente de seguridad puede haber un fin, sino un robo de datos, una vulnerabilidad de una aplicación informática. Pues bueno, cuando existe esto en nuestro caso nos tenemos que poner a trabajar en equipo en analizar y ver, pues tareas como cuál es la repercusión a la naturaleza de ese incidente de seguridad. Tenemos que clasificar ese incidente de seguridad en función del origen del tipo de la amenaza que ha venido en función de los usuarios o perfiles de usuarios que han sido afectados el número de sistemas o tipología de sistemas afectados. Por ejemplo, también tenemos que analizar si ese incidente está afectado o no por datos personales, para ver también si estamos ante una violación o una brecha de seguridad. Cuando afectan a datos personales tenemos que ver ese incidente. Cómo impacta? En la organización cuál es el impacto que está causando la organización, ese incidente, porque según el impacto, pues también va a depender un poco de la clasificación, los riesgos que hay para esa organización. Tenemos que ponernos a trabajar conjuntamente y hacer un análisis de riesgos y ver ante qué riesgos estamos. Tenemos que asesorar al comité; hay que tomar decisiones, y nosotros estamos un poco ahí para también, en base a todo este análisis, que se ha hecho asesorarles. Incluso, determinar la necesidad de tener que notificar estos incidentes de seguridad a autoridades competentes, por ejemplo, al Centro Criptológico Nacional, que como se ha comentado es 1 de los que más vela por el cumplimiento del esquema nacional de seguridad, pero también a otras autoridades. Si, por ejemplo, hay datos personales afectados hay que comunicárselo si corresponde a la Agencia Española de Protección de Datos, pero también en función del riesgo hay que comunicarlo a los interesados no, que han sido afectados entonces Pues ahí estamos nosotros para ver un poco conjuntamente. Cómo se notifica esto? Porque no se puede enviar cualquier notificación, qué documentación hay que recabar los plazos, por ejemplo, de respuesta; es decir, todo esto además hay que hacerlo no olvidemos bajo unos marcos regulatorios y unas leyes o 1 de los retos. En el tema de los incidentes de seguridad, por ejemplo, son los tiempos de respuesta, pero no hablo solo de los plazos que vienen impuesto por las normativas para notificar estas brechas. También hablo del tiempo de respuesta del equipo. El equipo ante un incidente no puede estar parado sea. Es decir, aquí el tiempo cuenta muchísimo, es oro, y nosotros en este caso tenemos que adoptar lo antes posible. Medidas de seguridad. Tenemos que tomar decisiones, medidas, aunque sean cautelares para lo que hablábamos, para mitigar un poquito ese riesgo, ese impacto y conseguir, pues poco a poco que que haya menos afectados, como por ejemplo, pues eso, lo que es bloquear cuentas de usuario, aislar sistemas de información, aislar comunicaciones pues todo esto por ejemplo es importante. También nos encontramos, realizamos más tareas como por ejemplo, analizar información o implantación de medidas de seguridad. Aquí tengo que decir que para nosotros que nos pregunten que nos pregunten desde los técnicos, qué medidas hay que implantar antes de que empiecen un desarrollo antes de que contraten un servicio, un producto antes de que se pongan a configurar, a configurar una herramienta como administradores, aunque sean las de Google, por ejemplo, cuando van a intercambiar información. Como hemos hablado. Esto para nosotros ha sido un esfuerzo y pasos increíbles de conseguir, aunque parezca que no decir, porque normalmente, cuando se quiere, a lo mejor implementar algún sistema, pues nos preguntan qué medidas hay que implantar, y nosotros, pues ha sido resumiendo. Primero, lo que hacemos es analizar la información, es decir Bueno, la importancia que esa información tiene para el sistema que maneja, porque la información es un activo muy valioso para nosotros y para negocio. Entonces intentamos aquí ver cuál es el valor que tiene, porque además no hay que olvidar también que las administraciones públicas hay que implantar las medidas de seguridad del esquema nacional de seguridad del Real Decreto 3, 11 barra a 2022, entonces, pues bueno, es importante que nosotros estemos ahí asesorándoles en estas medidas de seguridad. Entonces es para que la seguridad funcione. Aquí nos hemos dado cuenta de que tiene que haber una fuerte concienciación, una fuerte formación en los técnicos, y aunque nosotros ya hemos identificado que hay cierta cultura, como les hemos dicho, pero aún hay mucha lucha interna de que antes de que se haga un proyecto nuevo, pregunten a cumplimiento. Yo recuerdo a bueno y aún estábamos hablando, sigue pasando pues cuando nos reuníamos con los técnicos la cara que ponía era a ver qué me vas a contar que no vaya a poder trabajar. Sé a qué trabas me vas a poner que no voy a poder seguir trabajando y entonces bueno, nosotros hemos intentado concienciarles de que no venimos aquí a obstaculizar que las normas no están para que no se trabajen, sino todo lo contrario, que se trabajen mejor con seguridad, y lo que intentamos siempre es que se encuentre un equilibrio entre la funcionalidad y la seguridad en todo lo que se pueda, no exista ese equilibrio y no venimos a poner a poner trabas, pero aquí todavía queda mucho camino, aunque hemos conseguido. Hemos conseguido cosas más, cosas en las que participamos y es necesaria esa comunicación. Pues bueno, aparte de trabajamos en proyectos, como se ha comentado, de infraestructuras, críticas y servicios esenciales, la continuidad de negocio y auditorías por ejemplo de cumplimiento, no ver verificar si se están implantando, por ejemplo, las medidas de seguridad de una norma como pueda ser una ISO de gestión de seguridad o, por ejemplo, del esquema nacional de seguridad que exige a las organizaciones, pues tener auditorías periódicas cada 2 años. Pero es imaginaros. Si nosotros vamos a verificar, si se están implantando esas medidas de seguridad, tenemos que hablar o poco tenemos que entender no solo lo que preguntamos, sino también lo que nos están contando y entonces, pues bueno, aquí es también muy importante que el profesional del derecho se esté formando continuamente, porque, claro, a veces a los técnicos hay que decirles a ver, calma, calma, un poco que tenemos que hablar un poco en el mismo idioma, pero hay esa necesidad de estar continuamente haciendo cursos, formación conociendo, pues las guías que son de aplicación, por ejemplo, del CCN y para poder comunicar. Cuando un un tecnólogo te está hablando, pues de una regla de cortafuegos de un rúter, de un servidor de denegación de servicio, de mecanismos de autenticación, de controles, de acceso, servicios en la nube, pues tienes que estar ahí para entenderlo. También, aunque parezca imposible, trabajamos en el desarrollo de marcos normativos de seguridad. Esto a los técnicos les hacen menos gracia, pero los necesitamos también aquí y no le gusta tanto esta parte, pero bueno, también colaboramos conjuntamente en el desarrollo de los marcos normativos de seguridad y en los procesos de aprobación y validación de normas que también sus roles son importantes. Es decir, desde una política de seguridad de una organización una norma un procedimiento guías manuales instrucciones técnicas es decir aquí nuestra realidad es que a veces nos encontramos con el desarrollo de normas que son técnicamente un poco complicadas como, por ejemplo, en lo que son las instrucciones técnicas, donde ella así que se detalla cómo se tiene que implantar una medida de seguridad. Lo mejor y aquí es importante. Yo recomiendo, por ejemplo que quede bien claro cuál sería ese procedimiento de elaboración de las propuestas y que los grupos de trabajo, por ejemplo, se complementen con estos 2 perfiles y porque ellos al final también son los que van a implementar la seguridad. Entonces, es importante que también estén en estos grupos de trabajo. También hacemos muchas labores de asesoramiento, de asesoramiento y tareas de delegado de protección de datos, al final Uy. Me llega esto. Entonces, en este caso, por ejemplo, por ejemplo, el delegado de protección de datos, que a lo mejor esto ya lo habéis oído hablar pero es una figura que se le ha dado mucha importancia, es una figura que viene regulada por la normativa de protección de datos y que incluso esta normativa determina cuándo hay que designar o no un delegado, en nuestro caso, por ejemplo, a las administraciones públicas. Es obligatorio designar un delegado de protección de datos y aquí nos encontramos con una figura que se le ha dado mucha valor que fuera un perfil con conocimientos en derecho, pero que es una figura clave, importantísima en lo que es la cultura de la protección de datos, en la normativa de protección de datos, en una organización, en fomentar la concienciación y la formación en materia de normativa, de protección de datos y de seguridad de la organización. Se cuenta con él en las cuestiones más delicadas y más importantes, sobre todo que tengan implicación, datos personales se le convoca para que asista a las reuniones de los altos mandos, e incluso medios para contar con su opinión y tomar decisiones. Cuando hay una brecha de seguridad, pues también se le informa con antelación para poder valorar y tomar esas decisiones. Es una persona que es el punto de contacto entre la organización y, por ejemplo, la Agencia Española de Protección de Datos, incluso con los afectados por estos derechos, no de protección de datos. Por lo tanto, esto también nos da otro ejemplo de que el delegado de protección de datos, a pesar de tener conocimientos en derecho, lógicamente, y de tener conocimientos, de operaciones de tratamientos de datos, pues también tienes que ser una persona que conozca los sistemas de información y las necesidades de seguridad de una organización. Entonces, pues bueno, me han dado el tiempo. Yo desde aquí solo os puedo animar a que os formes investiguéis en este campo, que os animo a formar parte de equipos multidisciplinares que yo, por mi experiencia, puedo decir que cada día es un reto muy bonito y no son un reto, sino un encuentro con las nuevas tecnologías muy bonita. Muchas gracias. Ya a continuación, pasamos a abrir el debate a todas las cuestiones, que planteará cualquiera de los ponentes de la Mesa. Bueno, yo para empezar quiero romper el hielo muy rápidamente. Cuando Javier ha presentado a Nuria, me ha llamado la atención las certificaciones profesionales que tiene fijado. Me gustaría plantear teoría a cuál es tu experiencia, cuál es tu, qué importancia tiene esta formación, más allá de que puedan ser obligatorios en ciertos ámbitos, como también una opción o de formación para el profesional del derecho, que a lo mejor necesita tener un conocimiento muy en tecnología. Ese sería la primera pregunta y luego otra segunda y ahora le lanzo la Torre. Me callo, por no abusar de uso de la palabra. No sé si sabe fijado que hay una palabra que ha salido continuamente, que es la transparencia no, y el hecho de que, como ha comentado los cuando alguien le ataca le da vergüenza el hecho de que existan obligaciones normativas, de comunicar el problema, pues me parece que puede ser o generar una tensión dentro de las organizaciones, que es muy difícil en gestionar. Bueno, pues aprendiendo a todos respuesta, Julián. Bueno, aquí te das cuenta que hace, es lo que es derecho y luego, pues tienes que ir. Si a mí por ejemplo yo tuve la suerte de caer en un, en un, en una consultora, en un despacho que ya era pionero en estos temas y me llamó mucho la atención. Pero, claro, eso implicó a ir haciendo camino e iré especializándome pues lo que es en las nuevas tecnologías es verdad que al principio, como he comentado, no había tanto abanico como ahora, ni muchísimo menos. Entonces, pues bueno, hice algún máster especializado en nuevas tecnologías he intentado formarme a través, pues de todos los, también cursos que ofrecen las organizaciones, que son muchos, para los profesionales de derecho en distintas en la Agencia Española de Protección de Datos. El CCN también tiene un amplio abanico de cursos de formación y también de material para aplicar todo esto y luego además las certificaciones que, aparte de que me han aportado muchísima metodología en lo que es la administración de sistemas de seguridad y en auditorías, por ejemplo las que yo tengo, la del CSN, que es de Isaca, de una asociación internacional que te facilita, pues esté este sistema metodológico, porque como hacemos auditorías y estamos gestionando todo el rato sistemas de seguridad por bueno, es una certificación que a mí me ha ayudado mucho a poder conectar más con con la tecnología y además que a veces también son algunas exigencias propias del cliente o de la Administración para para poder trabajar con ellos, igual que la del delegado de protección de datos hoy en día. Es cierto que un delegado de protección de datos no necesita esta certificación para poder trabajar de acuerdo, pero yo, por ejemplo, opte por certificar, además, con con una entidad certificadora, que seguía el marco de las garantías y los contenidos de la Agencia Española de Protección de Datos, que a mí pues también me ha abierto una visión y me ha dado muchas oportunidades el tener esta certificación, pero vamos, que hay muchísima más. Yo también he ido adoptando, según mis necesidades y según el tipo de cliente, que he tenido muy enfocado también a la Administración pública últimamente, pero tenéis muchísimas más certificaciones que puedan ayudar para para ir; sobre todo es ir especializando, seguir entendiendo las nuevas tecnologías y, como se comentaba, la inteligencia artificial, que ahí se me ha olvidado decirlo. Pero vamos, yo creo que aquí es donde tenéis un reto superimportante, es decir, esto ya existía, pero vamos, es verdad que el impacto potencial que está causando no solo en la organización, sino también en los ser humano, esto requiere que nosotros como juristas, empezamos a ser a regular esto de forma muy proactiva, muy temprana y, sobre todo, el desarrollo del uso de la tecnología, porque, como hemos dicho, es una tecnología que está aquí que la vamos a usar disruptiva, que viene a quedarse y hay que hay que regular este desarrollo teniendo en cuenta los límites jurídicos, como nos ha comentado la compañera, sino también éticos que también nos están ganando mucho terreno bueno, en relación con todos, a una pregunta general de la de la transparencia, transparencia, trazabilidad y luego a ver qué opina Antonio con respecto a introducir en el diseño, requisito de dejar huella, no porque el otro gran problema con el caso encontramos y el hecho de que la proliferación del delito tecnológico vaya en aumento en la dificultad de la investigación. No. La obligación de notificación tiene de omisiones. Por un lado, generar daño reputacional para que la dirección de las organizaciones no digamos tenga la tentación de. Bueno, pues pagamos la multa que toque, ya está no; el daño reputacional a las corporaciones les preocupa bastante y, obviamente, eso genera que se pongan los medios para que preventivamente nadie sea víctima ni tenga que sufrir una brecha de seguridad, pero que colateralmente está buscando la necesidad de coordinación y de generar ciberinteligencia cada vez más, y de hecho la norma que se están aprobando están estableciendo organismo de coordinación a nivel europeo y nacional. Necesitamos saber qué le está ocurriendo a determinada organización para saber si el ataque va dirigido van coordinado, es estructural, está afectando a un sector, es obviamente tiene que rápidamente fluir a los organismos nacionales de coordinación, que lo eleven a Europa, y esa diligencia hace que los malos vayan generando determinadas situaciones. Lo bueno puedan analizar el modus operandi, puedan ir paliando o preventivamente informando a otros actores para que tomen medidas antes de que ellos sean afectados en la regulación, sobre todo el reglamento europeo de ciberseguridad que empodera Enisa. Como ese coordinador y la obligación de la notificación con ventana muy corta de tiempo, estamos hablando de 72 horas en el ámbito de protección de datos, pero la directiva ni lo baja 24 en otros contextos sobre todo sector financiero, en 2 horas ya hay que informar que está siendo víctima de un incidente. Obviamente, esa información no es transparente, o sea no pública, pero sí que circula entre los organismos de coordinación y están generando, obviamente esa fina inteligencia que permite abordar con más conocimiento lo que está ocurriendo, pero ahí la pregunta es claro. Cuando 1 en un proceso de un delito tecnológico tienen que investigar qué pasa, si el cacharro no recogía información suficiente o no tiene entre comillas mecanismos de auditoría o no tiene establecido, pues requisitos de custodia y preservación de evidencia digital no. Ahí también parece que va a haber regulación, en el sentido de la colaboración para que se intercambien de forma fluida las evidencias digitales, y luego entiendo que también a efectos de diseño de dispositivo, hará falta que esa información, digamos, se conserve durante una ventana temporal de tiempo para que pueda ser utilizada y que los criminólogos o los investigadores, los Cuerpos y Fuerzas de Seguridad Estado puedan hacer su trabajo. No sé cómo ve esa el problema de de la investigación del delito tecnológico con los medios actuales y digamos, con la infraestructuras con las que contamos actualmente. Bueno mi parecer es que claro, estamos lo que decía un poco desfasados. Otra de las incidencias de la digitalización y para la cuestión de la ciberseguridad, la cibercriminalidad, es esa, no es cuáles son las pruebas tecnológicas. Ante ahora esas situaciones no, porque los compañeros de Derecho Procesal están trabajando no solo en la aplicación de la inteligencia artificial, en los procesos judiciales, sino también en la consecución de las pruebas, no que puedan acreditar que se ha acometido esa actuación en caso de un ciberdelito no, y es verdad que la tecnología debería dar un paso más, pero ahí dar esos pasos tiene que ponderarse justamente con protección de datos e intimidad, no porque las grandes compañías tecnológicas en realidad son las que te controla desde tipo de artilugios, no en iba a redes básicamente no, y es verdad que si os queréis dedicar al ámbito de la judicatura o de la fiscalía hay pocos jueces, se están formando a los jueces y los fiscales informáticos haciendo muchísimos cursos. La informática de ciberseguridad, porque es verdad que es un ámbito en el que todavía les falta muchísimo conocimiento y necesitan justamente de informáticos, y no solo de juristas, no? Pero para que un fiscal pueda llevar a cabo un determinado tipo de instrucción tiene que tener también unos determinados conocimientos. Es más, también los jueces en caso de de aplicarlos no, y es una problemática que tenemos sobre la mesa, porque hace unos años nosotros, eso Pues el derecho digital era un mínimo, casi, casi una optatividad de la que por nosotros los juristas nos podíamos dedicar, no, pero en cuanto a la actitud plantea si ese es otro problema, no de cuáles son los elementos tecnológicos probatorios no. Es decir, el debate está sobre la mesa, porque si permitimos que los dispositivos puedan ser luego no prueba, deberá establecerse las garantías suficientes para que, cuando no se cometa ningún tipo de delito, la información a la que acceden no sea manipulable, porque se ha comentado anteriormente sí y día también lo que indique yo. Con respecto al proceso de certificación, no otra vez, las yo creo que haya grandes esfuerzos ahora mismo es el poder desarrollar los sistemas de ser tipificación a nivel europeo que permitan proveer información suficiente información sobre qué capacidades tienen los dispositivos de programa, que cuando tú compres un dispositivo se pase a ser positivo es de categoría, a deseo o de cada categoría. Tendrá pues su conjunto de propiedad, de de seguridad, que te dirán, tiene transparencia capaz de almacenar capaz de los debates, que de hecho un poco lo he planteado de las empresas, en las que la similitud con los con lo electrodoméstico en la clase, lo lee, y no la corona y no el sistema de carrera, y ahora bien, claro, el plan, que es mucho más fácil a ser eso para una dispositivo y saber si consume energía equis hoy de Siloé cuáles son todas las propiedades de seguridad que cumple o deja de cumplir y no de hecho una cosa que discutimos este momento con el colegio, cuota de reserva y con Enisa el hecho de que tiene que ser un proceso continuo, es decir, tienen que ser saturadas. Es una certificación. Hoy, claro, esa certificación mañana no fuese que no tenga nada que te obsoleta, que lo que decía no tiene que haber pensado y recertificación continuar. El ciclo de vida tiene que estar continuamente monitorizada. No, es que la solvencia de la tecnología es constante y las certificaciones ojo, que son meras presunciones, sí sí, sí; son meras presunciones. La presunción también es una institución jurídica a tener en cuenta porque presumimos que 1 tiene una identidad; presumimos que, aunque cierto es seguro, pero son presunciones, lo mismo lo ha dicho desde el técnico. No sé si esa certificación puede tener una validez de un día 2 3 4 5 días por ejemplo una cosa es que se ha conectado bien, hay que ir dicho, porque, como les he dicho anteriormente, que, por ejemplo, al menos la regulación nueva en el Senado, por ejemplo, si lo está diciendo claramente que tiene que haber un mecanismo de que cualquier vulnerabilidad nueva que se detecte sea informada lo más rápidamente posible conlleva, porque eso tendría que estar ligado con el proceso de certificación. Sí le diré al final es que el gran problema que hay ahora mismo, mucho toque y positivo de que no tienen, los no tienen significado y no tienen ni siquiera autobús automatizado, el proceso de actualización, o sea, cualquier sensor que te por ahí disponible yo llevaba 20 años aumentará obsoleto hace 15 básicamente con lo cual claro ese es un fondo del problema. Claro, problema es cómo obtener que la tecnología, que va evolucionando ahora mismo tiene que tener un procedimiento automático de estar continuamente, reajustando; ser por llamarlo así de alguna forma, no a la nueva vulnerabilidad, de un nuevo reto, y eso a su vez tiene que tener impacto sobre el fabricante no que el fabricante se desentienda y si a criterio de fuego y olvidado del tema no citaré a esas medidas cuotas que ahora de ese debate también nos la perspectiva muy muy tecnológica muy técnica porque claro cuántos de nosotros compramos un electrodoméstico y nos leemos la todas las indicaciones para poner en marcha. Nos tomamos un medicamento y vemos ahí respecto a los efectos. No hacemos esto, o sea, yo me compre un coche nuevo, no voy a decir la marca y había todas las explicaciones de funcionamiento del coche y no es electrónico, y había un añadido que ponía normas de ciberseguridad, claro, porque mi coche está conectado, Internet, yo intenté leérmelas, entendí y es algo, sé de la materia un 30 o 40 por 100 que decir que se dice que lo pongamos ahí, que luego el usuario, el responsable, los juristas decimos. Bueno y en caso de daños quién responde porque claro lo importante aquí también es epistemológico el conocimiento que sabemos nosotros de eso somos usuarios de los productos, que desconocemos completamente funcionamiento, sus riesgos, y asumimos esos riesgos y asumir los riesgos, podamos los datos a nuestros datos. Imagínate de un electrodoméstico, pero bueno, eso parte también de lo que comentábamos antes de las prioridades y para asenso. Lo primero que hay que ser falta también es que el que diseña el sistema tiene que tener en cuenta quién va a estar detrás leyendo 7, o sea, viendo usando el sistema, y no digo si 1 falla, siempre decimos. Nosotros lo hacemos Lo ingenieros hemos sobre ingeniería, y a un sistema cojonudo resuelve todo el problema del mundo. Ahora bien, no hay nadie, aquí lo usan. Por qué no dicen ni paños de acuerdo? Lo bueno es que deje claro si no soy capaz de resolver ese problema, y si no lo voy a resumir, yo necesito a alguien que tenga esa otra visión, pero el problema no es que no se utilice, el problema es que se use mal, o me expresé mal. Vamos y añado una voz pilla a nosotros de verdad que nos enseñe en la universidad a diseñar caso de uso, pero hay que empezar a empezar en los casos de abuso, porque tiene que diseñar las medidas para evitar el uso perverso que sabemos que se hará antes o después. No sé si hay alguna pregunta e alguna mano. Yo soy Fuensanta, he tenido objetivo de información y contenido digital en la facultad de comunicación, y mi pregunta era para Javier, pero bueno, un poco para todo país hablando antes, que muchas veces la relación entre técnico y jurista, jurídico y técnico puede ser algo complicada como realmente se consiguen. Que haya equipos interdisciplinares en la que la barrera a nivel de conocimiento no supongan un problema para, para conseguir los resultados que se pretende, sobre todo en este ámbito, como puede ser ciberseguridad, derecho digital, o sea, que consideren nosotros que es necesario para que un equipo interdisciplinar, función. Bueno, no podemos contestar cualquiera. Aquí hay 2 ingenieros, si le digo que aquí se ha hecho por la parte de mucha más sencilla, 2 cosas. La primera era la mutua. Yo siempre llama lo conoce lo hecho mi amigo ocultas y medio, se llamaba el lado oscuro. Donde estar guardia, saben a quién se refiere. Es decir, ese sentido tenemos ahora eran los del lado oscuro, cuando creemos que reuniéndonos en el sentido. Bueno, principio, yo creo que lo fundamentales, como he dicho antes, la parte nada más y obviamente, si el tema es sobre todo como como se ha dicho antes, y el ser capaz de poner en lugar del otro a la hora de explicar las cosas, no sé si yo creo que el poder ser empático en el entendimiento, usar terminología, commune y poco a poco ir construyendo sobre eso, no? Si muchas veces el problema, un problema tecnológico en algún caso hemos de ir a parte de estructuras mentales o de forma de enfocar la cosa no, pero yo creo que esa parte en la que es fundamental, no solo no te digo muchas reuniones, no ha costado mucho, mucho diálogo y sobre todo yo creo que sobre todo eso la buque de la empatía, no lo peor que hay, que yo me creo que lo mío el único válido y no otro. Lo demás, lo de los demás no vale. Es decir, yo creo que eso pase lo mismo durante la persona, sin mucha veces lo equipo quiera o no quiera allí eso generó hacernos tal que del mundo cerrado y no quiere comunicarse, y tal, que sí que tiene más capacidad, no tiene que buscar a esa persona que tiene esa capacidad de comunicarse para poder formar ese equipo ahí porque si pone a que no quiere hablar o entonces claro lo tiene es complicadísimo sí bueno yo opino lo mismo también es verdad que hay técnicos técnicos, por ejemplo, Javi Javier, y yo hemos trabajado muchos años juntos. Somos 2 perfiles diferentes y nos hemos llegado a entender o eso creo hasta al contrario. Al final también, aparte de empatizar y un poco saber que con el que está delante no son técnicos un jurista e intentamos que nos entendamos mutuamente, formación por ambas partes, por ambos perfiles, concienciación por ambos perfiles, y yo también creo que el trabajar juntos en proyectos, a mí lo que me ayudó a entender a Javier fue también trabajar en proyectos conjuntamente y bueno y paciencia, y los técnicos, digamos, tenemos que tener claro que hay que leer la legislación, que no va a afectar, y sobre todo tirarse un rato en el artículo que haga la definición porque se va a servir a mover el punto clave para que entendamos las 2 partes la misma cosa. No, al final tú tienes una visión técnica y positivo para mí significa una cosa, pero en la regulación, en el contexto en el que están redactada, la cosa tendrá otra interpretación y habrá que ver qué interpretación se le da desde el punto de vista del derecho a eso que se está regulando. No son bastante importante tenerlo en cuenta, y yo añadiría lo comentábamos antes. Es verdad que estamos, es decir, no necesitamos, aunque no nos entendamos ante eso, que es una obviedad. Hay que buscar marcos y puntos en común. Yo te diría. El respeto entre disciplinas a que no haya competencia entre disciplinas, porque es un ámbito en el que no podemos competir. Hay que sumar, porque si nosotros nos sumamos aquí y en Europa van a sumar otras cosas, no ante eso, que es un reto enorme, yo creo que hay que ponerle, como decía el comedor o primero mucha paciencia, pero sobre todo el hecho de ser muy conscientes de que no competimos, de que sumamos para un bien común, porque Europa nos hemos quedado lo ha dicho antes muy bien atrás. No hay soberanía digital, estamos luchando, hay muchísima financiación para conseguir esa soberanía digital, pero nosotros tecnológicamente nos guste no estamos y tú lo sabrán mejor, a una distancia enorme dolor que están algunos países en en Asia o Estados Unidos, donde evidentemente tenemos a las tecnológicas, y nosotros tenemos algo que es muy preciado, muy, muy preciado, que es el derecho, y es la protección de los derechos fundamentales. Entre ellos no solo la protección de datos, como decía antes, es un valor único, y si nosotros no conseguimos eso, no solo va a perder el derecho, va a perder también el avance tecnológico y en general la humanidad, y lo digo en estos términos porque creo que es así. Ciberseguridad es riesgo para la humanidad. Y si eso no lo vemos, lo vamos a tener muy, muy cruda. Muchas gracias. Sí bueno, en primer lugar, por muchísimas gracias a todos los ponentes por sus intervenciones en el día de hoy y bueno, quería hacer 2 preguntas, una más orientada al perfil técnico de la Mesa y otra al perfil jurista. En cuanto al perfil técnico en estos y al hilo de lo que se estaba comentando, el jurista cuando tiene que abordar es un hecho jurídico tan complejo como es la la tecnología y las diferentes programas que hay. Sería necesario que a ese jurista vienen estudios universitarios, bien en estudios de bachiller. Eso tuviera la posibilidad, por el sistema de estudios oficial, que haya en cada momento que tenga la posibilidad de acceder a una alfabetización un poco. En esos equipos interdisciplinares, normalmente hemos detectado como el bueno aquí tenemos 2 excepciones, pero como él el técnico siempre tiene una vocación de más aproximación al derecho, que viceversa no. Entonces, a lo mejor facilitar al jurista la comprensión del hecho jurídico de la base, no se va a beneficio de la facultad de informática. Claro, eso sería para el perfil técnico de la Mesa y en cuanto al perfil jurídico, se ha puesto sobre la mesa en la intervención de Nuria. El ejemplo de la Administración cumplidora que lleva a cabo ese análisis de impacto que se preocupa de la ciberseguridad, que se ha preocupado el tratamiento informático de los datos, claro, a mí por un lado también pienso en el perfil de la Administración, que quizá no le da tanta importancia, y en el reglamento del reglamento protección de datos en la Ley de Protección de Datos pienso. Se debería intensificar las sanciones a las administraciones que no llevan a cabo los análisis pertinentes y que no le dedican demasiada importancia a este aspecto, no solamente con señalándolas y no sancionándolas económicamente, cosa que no se hace en la liebre saneados y que si se hace en otros países como por ejemplo, Italia, pero claro, al mismo tiempo pienso en ese concepto de la necesidad de una administración colaborativa, de la que nos ha hablado los y que no existe, y me pongo en la piel del municipio pequeño en el que a lo mejor no lo hago porque no tengo recursos ni económicos ni personal, no? Entonces bueno que qué soluciones podríamos o cómo podríamos enfocar esta tramitación, porque, bueno, aunque sea un municipio pequeño, yo los datos que a lo mejor del contrato de abastecimiento de agua potable siguen siendo relevantes, y me tengo que seguir preocupándonos donde pida ayuda a alguien, le pido el comodín de la llamada Bueno, pues reitero el agradecimiento y la enhorabuena. Si quieren pienso yo. Por una parte, yo estoy totalmente de acuerdo conmigo y yo el tema, que ya no solamente para derecho, y no porque tire a favor cosa de mentir a favor del tema de la parte informática, sino que yo creo que ahora mismo ya secta de muestra de que en un escenario de digitalización con la que estamos todo el mundo tiene que tener una cultura mínima, es decir, no digo que apuntan a programar, pero que tiene que tener un conocimiento sobre el uso de la tecnología en este caso y sobre todo la tecnología que tiene que ver con el uso de ordenadores y con las capacidades y con la nueva potencia, posibilidades que hay, etcétera, y es porque eso al final va a ser parte, como comentaba antes, que todo lo hable 1 que trae aquí Bueno me dijo que tiene mucho menos al año. Que aquí ha usado chapa, va a ser una. Una vez un documento me refiero a ese sentido, y eso no solo pueden evitar ETA y porque lo voy a por qué se lo voy a evitar, sino que tengo que enseñar es enseñarle a usarlo que a la inversa. No decir que tiene que coger y copiarlo, sino que tiene que sencillamente, elaborarlo y trabajarlos. Hay herramienta, esa herramienta está más tarde disponibilidad, ahí no he sentido que todo lo que haya un mínimo de digitalización o de aprendizaje digital, en las capas, sobre todo las más jóvenes entiendo yo que es el tema yo creo que es fundamental en ese sentido y no sabe, como he dicho antes, no solamente en el temas de derecho, sea últimamente trabajando mucho. Como he dicho antes, con temas de biología, con biólogo y claro haya aspectos. Hay, sobre todo de temas moleculares, de que al final tiene un impacto digital también, que es al final una identidad es generar al final generar genes y generar ese tipo de información; va a tener fundamentalmente el día de mañana también una una una gran importancia, lo cual lo que creo yo que tiene que ser generalizado es lo que está claro, que no es como hay; si no, no necesariamente va a programar, es sencillamente a ser el uso de la tecnología y buen uso de la tecnología, y yo creo que hacer actividades que me ha gustado mucho lo que ha comentado antes de por 100 por por recalcar eso el grupo de trabajo que están haciendo de ir a los colegios, por ejemplo a enseñar. Eso es una cosa, por ejemplo que nosotros también estamos planteando desde punto de vista la ciberseguridad. Póngase a Incibe que haya una ayuda del cibercafé. Una de la actividad de fundamente es ir a los colegios a fomentar o a fomentar a enseñar o a indicarle no los grandes retos que hay ahora mismo en el tema de ciberseguridad, a mejorar el uso de los datos digital, de la fe, del uso de herramientas digitales, etcétera. Con lo cual, para mí yo creo que eso es algo que quieren una parte integral de la formación de las personas del día de mañana, porque somos somos cada vez más digitales básicas. Si yo creo que igual que se enseña educación vial, pues se tiene que enseñar a moverse por el ciberespacio, incluso iría mal en materia de ciberseguridad porque ya el entorno es hostil, norma básica, es decir, ciberhigiene, o sea ahí ese término se está empleando decir. Igual que te enseñan la parte del director al día, pues mira cuando utilice un sistema online que la contraseña sea determinada complejidad. Si sube información eliminasen plagio -oposición, porque es el dato que más revela dónde están y lo que hace que, y eso, claro se lo tengo que enseñar a los menores que, claro, normalmente las aplicaciones. Ya. Por suerte y gracias al reglamento, vienen entrecomillar por defecto cerrada y directo y que abre, pero claro, cuando su ecosistema, mi niño pasa igual, es decir, que cuando todos tienen y tú eres el raro que no tiene, o como no pueden luchar contra eso, al menos al no convivir en un entorno donde sea consciente lo que está haciendo y por lo menos tenga cierta precaución en que se haga foto y se ponga siempre un icono adelante cosas de este estilo que si no a largo plazo, pues le pueden pasar facturas, que otro niño y quizá por falta de educación de sus padres pueden, no están entendiendo a riesgo que se van a ver puesto no, y en ese sentido también se está generando desigualdad de los que controlamos un poco lo que puede pasar, lo que digamos, hay que gestionar con respecto a lo que no, y eso se tendrá que enseñar también en los colegios, lógicamente. Bueno, yo sobre la segunda pregunta, sí que quiero puntualizar una cosa, que la verdad que se es, es una pena que se que se cumpla, porque haya sanciones, no es decir, a ver, a mí eso. Me llama mucho la atención y yo he visto mucha diferencia que he estado trabajando, pues tanto en sector privado como en la Administración pública. La diferencia de una u otra, no es decir, pues bueno que hay en con respeto a la normativa de protección de datos, como comentaba, es que varias de referencia son sanciones, pues bastante elevadas, aunque ahora, como se dice, son un poquito más proporcionales a la facturación y bueno, y en este caso pues se mete miedo para para cumplir en la Administración pública. Esto no pasa, es verdad que pueden haber luego, pues otro ciertas sanciones, ya más a nivel de responsabilidad o disciplinarias, no dentro de la organización, pero no, no estamos hablando de este tipo de sanción, como tienen las entidades privadas, pero es verdad que nosotros estamos intentando. Nuestra visión es concienciar, como ha comentado el compañero de Esquerra, ciberseguridad, el riesgo de riesgos para la organización y para los seres humanos, y hay muchas responsabilidades detrás, un incidente de seguridad para la Administración también puede suponer un daño muy importante para esos activos y para su imagen. Esto sí que duele esto esto sí que les duele mucho entonces pues bueno intentan intentan no al menos que esto no pase queda muchísima cultura, muchísima concienciación por lo que tú dices, porque no, no, no hay, no está en la misma sanción, en las mismas repercusiones, pero creo que hay que intentar concienciar de otro modo y no porque haya una sanción, sino porque hay que trabajar desde el punto de vista de la seguridad, y yo estoy con Nuria y yo te diría que a mí no me parecería mal que hubiese sanciones interadministrativa, es decir, que se pueda sancionar a una Administración pública por no cumplir a con la legislación de protección de datos y no cumplir con un esquema nacional de seguridad; a mí no me parecería mal, siempre y cuando se tuviera en cuenta esa gradación que tuvimos a para establecer la Administración electrónica, no te acuerdas de esas famosas disposiciones, que era la grabación que nunca conseguíamos, que todas las administraciones públicas tuviesen los suficientes medios económicos y materiales para que todas fueran digitalizadas, atendiendo a una grabación, es decir, si tú eres una administración que tienen suficientes medios económicos, presupuestarios, incluso tecnológicos, tú deberías cumplir con legislación de protección de datos y de cumplir con el ETS. Por lo tanto, a mí no me parecería mal que hubiesen sanciones interadministrativas, pero, ojo, porque eso no significa que no haya autoridades entrecomilladas que a control, en si se cumple porque ella lo ha dicho, la altura de la protección de datos, sea la estatal o las comidas autónomas, que hay ese tipo de entidades. Hay un control, pero es que hay otra entidad importante. Que controla en caso de ciberataque, por ejemplo, si se ha pagado o no. Y tú lo sabrá si se ha pagado o no. Por parte de administración pública. Cuando ha sufrido un ciberataque, yo estoy pensando en el ataque. Haga un enfado Autónoma de Barcelona o en el Clinic se paga luego, no cuando se dice que no a Internet más profunda, que nosotros no accedemos. Están los datos de los pacientes con todos los expedientes médicos, va a pagar o no el hospital público va a pagar la Generalitat de Catalunya quien va a pagar, que controla. Eso es lo controle. El Tribunal de Cuentas quien sabe muchísimo de ciberseguridad es el Tribunal de Cuentas. Son los auditores contables, o sea, yo aprendí muchísimo de ellos. Porque ellos controlan exactamente si a las administraciones públicas están o no pagando en caso de que se hayan robado unos datos y luego se pida un rescate. Por lo tanto, no quiere decir que si no cumplen no haya por ahí no o que en caso de daños, haya también autoridades que en realidad les van a pedir luego Cuentas valga la redundancia cuando incumplen la normativa en ese sector. Si yo, en relación con con los incidentes administraciones públicas, está claro que la sanción en el ámbito privado tiene ese carácter disuasorio para que se tomen los medios en el ámbito público, a ver si me preocupa nunca. En seguridad vas a poder decir que todo lo digo está gestionado y siempre va a haber incidente, pero una vez que el incidente se analiza, el equipo forense entra y ve cuál ha sido la causa. Ahí hay una delgada línea roja entre la negligencia y la protección proactiva. Entonces, yo no disculpará la negligencia porque entonces generamos una sensación, porque de hecho en Administración pública, digamos que la pena de telediario cuando son o empiezan a ser, por desgracia, demasiado frecuentes, los incidentes puede al final acabar pensando ese que, bueno, como nunca pasa nada, pues tampoco me voy a procurar excesivo, porque no te pasa factura, no? Al final esto siempre depende un poco de daño mediático que te vaya a hacer como como organismo no Entonces, cómo Ciudadanos estamos afectados? Me refiero. Yo como ciudadano sí que exijo garantía, igual que se las hizo a mi banco, debe exigir la Administración que proteja adecuadamente invitado, porque además, previamente es la organización que más sabe de mi por obligación, porque además tiene, digamos, esa cobertura legal. Entonces me preocupa el hecho de que no haya una vía de alguna manera de exigencia y responsabilidad en mayor o no y sobre todo porque cuando aquí no tenemos cultura de publicar los informes que se hacen del incidente, pero en otros países, si hay veces que, evidentemente el atacante utilizaba mucho más medios que tú te ha desbordado, pero hay otras que son auténticos descuido o incluso negligencia. No, a día de hoy los sistemas tienen vulnerabilidades y tienen sistema antiguo sin licencia, pues tiene mucha más vulnerabilidad y no hay garantía de fabricante. Yo ahí ya no disculpo. Salvo porque haya falta de medio, y a lo mejor los técnicos estaban luchando. Eso también ocurre, o sea, la alta dirección en muchos casos son muy responsable porque no datan de los medios, pero cuando se evidencia que ha habido negligencia hay. Yo creo que hay que ir a a sancionar, lógicamente, a mí me gustaría hacer. Me gustaría decir que en el caso de las administraciones públicas, cuando el ciberataque entra por un correo electrónico yo he de reconocer y lo he dicho ha empezado así no hay que avergonzarse de que nos pasa. Esto es que no hay que avergonzarse, porque eso es lo peor. En mi opinión, sociológicamente es horrible que nos avergoncemos de que nos pasa, eso hay que ser responsable y es así no le podemos decir al funcionario que ha abierto un correo y que le ha dado ahí algún enlace que no debía, y a partir de ahí ha habido un ataque. No le podemos decir al funcionario público que había ya una empresa, que era una concesionaria, le pasaba la liquidación del contrato público y sencillamente ha pagado aún cibercriminal y no al proveedor, porque muchos administraciones públicas, no solo las pequeñas, que hacía referencia al compañero, es que no tienen conocimientos respecto de nada de eso. En mi universidad, en mi correo electrónico, de la universidad siempre hay un buzón que pone España no, pero es que me entra de todo. Me entra de todo, porque una corporación como una universidad que utilizamos todos, tanto el correo y hacemos búsquedas entre absolutamente de todo, yo he dudado, he dudado de si quien me estaba mandando el mensaje era la Agencia Tributaria o no, porque lo hacen tan bien, y cuando empezamos con los criminólogos. Comparamos incluso las firmas de las entidades bancarias, de director de tu entidad bancaria y eran idénticas, por lo tanto, no podemos decir es que ahora resulta que al pobre funcionario que le ha pasado esto resulta que le abrimos un expediente disciplinario. Si no le damos los conocimientos me parece a mí que es como no imputara a alguien que en realidad todo el coste de la organización se lo carga disculpando la expresión, el funcionario, o no Yo creo que eso a veces hacen colaborativa con eso cierro a Julián. Yo me parece que es básico. La ciberseguridad es colaboración, es colaboración público, privada, privada, pública es corresponsabilidad de cada 1 de nosotros, y en cuanto al sector público es interrelación y colaboración. Colaboración no quiere decir mantener relaciones de colaboración quiere decir, ser colaborativos; es decir, lo que tú sabes me lo traslada, es lo que yo se lo traslado, y a partir de ahí todos a una, porque si no repito, si nos hacemos la competencia también sucede entre administraciones públicas que os voy a cantar, sí contacto, y vengo de Cataluña. Eso es terrible sus terribles, porque si no colaboramos decir. Si no cambiamos de forma gratuita, entenderme como gratuita, si no nos intercambiamos conocimiento de ahí mi idea que el compañero ha puesto de relieve, porque trabajo en una línea de investigación que es Administración colaborativa, superamos y al mundo digital nos permite superar los límites territoriales. Eso ya no nos sirve. El territorio en el mundo digital no conoce de fronteras y ahí tenemos que colaborar todos, y eso es básico, es básico, porque si no vamos a perder la partida. Bueno, pues con esto cerramos ya la mesa, porque es cierto que lo malo son muy buenos y lo bueno tenemos que ser cada vez menos malo para poder estar a la altura, y bueno, concluimos así. La Mesa.

Propietarios

UMtv (Universidad de Murcia)

Publicadores

Cátedra Sobre Identidad Y Derechos Digitales
Julian Valero Torrijos

Comentarios

Nuevo comentario

Serie: El Derecho ante la ciberseguridad (+información)

Reflexiones, retos y oportunidades

Descripción

Inauguración
• Pedro M. Ruiz Martínez. Vicerrector de Estrategia y Universidad Digital. UMU
• Julián Valero Torrijos. Director de la Cátedra Fundación Integra sobre Identidad y Derechos Digitales

Mesa 1. La ciberseguridad, una oportunidad profesional en el ámbito del Derecho
• Antonio Skarmeta. Catedrático de Ingeniería Telemática. Universidad de Murcia
• Dolors Canals Ametller. Profesora titular de Derecho Administrativo. Universidad de Girona
• Nuria Martínez Fernández. Responsable del equipo de expertos GRC en CSA para la Comunidad Autónoma de la Región de Murcia
• Modera: Javier Cao Avellaneda. Lead Advisor Técnico. Govertis, Part of Telefónica Tech

Mesa 2. La perspectiva institucional de la ciberseguridad: el papel del Derecho
• Pablo López. Centro Criptológico Nacional-CCN. Jefe Área Normativa y Servicios de Ciberseguridad
• Héctor Laiz Ibáñez. Instituto Nacional de Ciberseguridad-INCIBE. Técnico Centro de Coordinación Nacional (NCC-ES)
• Modera: Magnolia Pardo López. Profesora titular de Derecho Administrativo. Universidad de Murcia
Canales

Mesa 2

La perspectiva institucional de la ciberseguridad: el papel del Derecho