Recientemente La Sexta emitió un documental sobre el uso de Internet en nuestras vidas. Parte del reportaje centró su atención en Estonia. Estonia es a la Administración electrónica es algo con lo que te encuentras cada rato. Su éxito, la digitalización del gobierno, los Consejos de Ministros digitales, y una serie de acciones pioneras han llamado mucho su atención. Así que, es muy fácil que la gente pregunte ¿Podría España ser Estonia? Mi opinión es que no. Y en parte esa opinión es también una esperanza, porque creo que las cosas de lejos parecen más bonitas que lo que son de cerca. Y es que quizá el país báltico y España (y gran parte de la UE) no estén en la misma sintonía.
No es mi intención recurrir a la doctrina Ana Rosa sobre la educación en Finlandia. La presentadora tras un documental sobre el modelo educativo finlandés dijo que allí tenían muchos suicidios y que ella prefería peores estudiantes pero menos suicidios. Aun espero el razonamiento subyacente detrás de esa frase. Pero si que tengo algunas objeciones al documental.
El contexto de Estonia: cuando las circunstancias te lo ponen fácil.
Estonia tiene unas diferencias que han facilitado la mecánica de su modelo digital.
- Demografía. Estonia es un país pequeño y muy poco poblado. Hablamos de poco más de un millón y medio de habitantes. Menos habitantes que Madrid y Barcelona. Esto puede parecer irrelevante. Una base de datos conceptualmente es igual de compleja para 1 que para 10 millones de entradas, pero facilita dos cuestiones básicas. Por un lado la fragmentación y diversidad de casos es más limitada. Hay menos probabilidades de variación e 1,5 millones que en 42. Por el otro, la mecánica de despliegue de la identidad digital es mucho más sencilla. No se trata tanto de que sea más fácil emitir 1,5 millones de identificadores, sino hacerlos llegar y ponerlos en marcha todos a la vez es más fácil. Pensad la de años que ha llevado en España cambiar sólo el soporte del DNI.
- Nivel de Estudios. La verdad es que Estonia tenía un punto de arranque interesante. El modelo educativo de la Unión Soviética, su independencia y el nacimiento de Internet coincidieron en el tiempo. Esto reduce la brecha digital, especialmente en las etapas tempranas del proyecto, donde es más profunda y de mayor riesgo.
- Estructura de gobierno. Estonia tiene, como era de esperar, un gobierno centralizado. Esto facilita un modelo digital autónomo. Es decir, aquí, cuando Comunidades Autónomas y entidades privadas generaron sus propias autoridades certificadoras, allí eso no es un problema. La unidad de datos es un plus para estos menesteres no sólo por facilidad de gestión, sino por unidad de decisión. Una persona (o grupo de personas) toman decisiones que se aplican para todos los casos. Esto es cómodo.
Xroad y el Gran Hermano.
Si hay dos pilares sobre los que pivota el modelo de Administración electrónica estonio son Xroad y su modelo de identidad digital. La identidad digital en Estonia es básicamente un tipo de identidad digital para todos los habitantes del país. Un número único diferenciado y válido para todas las bases de datos públicas del país.
Ahí entra nuestro segundo pilar: Xroad. En términos generales podemos decir que XRoad es un proyecto que integra todas las bases de datos del gobierno estonio de una manera interoperable de manera que se pueden intercambiar datos entre ellas sin molestar a la ciudadanía. Es decir, los datos mios como paciente pueden llegar de manera rápida al sistema de atención social para decidir si tengo derecho a una prestación o no.
La integración de ambos elementos es crítica. La identidad digital, ese número único, hace que se pueda buscar con él a esa persona en cualquiera de las bases de datos. El acceso a las bases de datos se hace a través de permisos específicos (es decir, la persona de servicios sociales que recibe datos de mi historial médico no puede mirarlos todos sin permiso). Adicionalmente, yo como persona puedo ver quién ha mirado y para qué mis datos personales. Es una manera de control ascendente.
Chulo, ¿verdad?
El Gran Hermano y Estonia.
A mi, personalmente me llama la atención algunas cuestiones que habría que aclarar. En primer lugar, las bases de datos, como «cosa informática» tienen dos dimensiones: la tecnológica y la funcional. En su vertiente tecnológica Xroad es una colección de bases de datos aisladas. Sin embargo, en su vertiente funcional es una base de datos única. Es decir, aunque esté en diferentes servicios, servidores, responsables y demás, si tiene un único campo identificador valido para todas, es una base de datos. ¿Por qué? Porque con ese número puedes hacer búsquedas en todas ellas y el único control que lo puede impedir es el de accesos (que también se aplica a cualquier base de datos tecnicamente única). Este es uno de los motivos por los que, por ejemplo, tu número del DNI no vale para la tarjeta sanitaria.
Existen motivos más que fundados para que haya una separación de las bases de datos de diferente sensibilidad. La identificación única de Estonia los difumina. Pongamos un ejemplo más feo al de la ayuda para enfermos. Imaginemos que un niño está pidiendo una beca para estudiar en la universidad y tiene que poner el identificador de los padres. Pongamos, por otro lado, que el gobierno ha hecho una nueva norma que pone como criterio para la beca que los padres de los menores no estén condenados por delitos económicos o financieros en los últimos 10 años. Este candidato podría no tener acceso a una beca por algo que no ha cometido y que, a lo mejor, ni conoce.
Las garantías jurídicas en los tiempos de Internet.
Esto sin contar trabajos más elaborados como el crédito social de China (que hace un análisis 360º de la ciudadanía para decidir a qué tiene derecho, por ejemplo, a la hora de pedir un visado o comprar una casa). Más aún será cuando apliquemos big data y machine learning y supongamos que personas con x estudios, nivel de renta y salud tienen más posibilidades de, por ejemplo, cometer delitos de corrupción.
Evidentemente, estamos hablando de cuestiones en las que la tecnología tiene un valor instrumental. Es decir, no es que sea la tecnología la que haga esto, sino que ejecuta normas elaboradas por gobiernos legítimos. Sin embargo, creedme si os digo que en un tiempo en el que el gobierno de EEUU cruza multas de tráfico con registros migratorios para echar gente, o Italia pone una ministra de sanidad antivacunas, tengo poca confianza en la agilidad de los sistemas judiciales para impedir impactos severos en la vida de las personas. Es decir, se puede hacer esta norma y que 5 años después se declare ilegal, pero vaya 5 años.
Estonia y RGPD: Nadar y guardar la ropa.
Adicionalmente, tengo serias dudas sobre el control efectivo de «saber quién del gobierno ha mirado tus datos». En mi opinión la transparencia tiene valor como mecanismo de control si tiene significado para el ciudadano. Es decir, gran parte de los escándalos de Facebook, por ejemplo, estaba en gran parte informado por la política de privacidad de la plataforma. Incluso ahora puedes mirar quién tiene acceso a tus datos. ¿Cuántos lo hacéis o lo habéis hecho? Y lo que es más, si lo hacéis ¿cómo sabéis si ese uso tiene sentido o no? Pues eso. Una cosa es conocer la información y otra saber qué rayos hacer con ella. No estoy seguro que saber si alguien de tráfico ha mirado mis datos de nómina tiene sentido o no. Y posiblemente, si me da una explicación, me lo cuenta.
Lo más interesante de todo este fenómeno es que parte de los entusiastas de Estonia adoran el RGPD. Sin embargo, aunque supongo que el hecho de que este país siga funcionando indica que su modelo se adapta al RGPD, no sé si la filosofía encaja mucho. Es decir, el RGPD se basa en que nadie tenga más datos tuyos de los que necesita. Pues en este modelo, de facto, esto no acaba de ser más válido que tenerlo todo en una base de datos con permisos diferentes.
Resulta curiosa la legítima preocupación por la privacidad y la legítima querencia a la comodidad, y como a veces se antoja incompatible. Ya digo que seguramente Estonia tenga el modelo adaptado al RGPD formalmente, pero filosóficamente, no estoy tan seguro. Si de verdad pensara que el gobierno debe tener limitaciones para mirar mis datos, me preocuparía que quien recibe mis candidaturas en una OPE puede ver mi historia médica.
La necesidad de un debate
Adicionalemente, pensemos la severidad del riesgo de un sistema tan integrado. Estonia ya sufrió lo que, para mi, es la madre de los ataques informáticos a un país en 2007. En este caso el ataque fue de DDoS (webs caídas, en castellano) pero, ¿qué pasaría en un robo de datos?
No quiero decir que esté totalmente en contra del modelo estonio. Tampoco tengo una opinión clara sobre parte de RGPD en detalle. Sin embargo, creo que debemos plantear este tipo de debates lo antes posible. La cuestión es que cada vez estamos más cerca de un mundo más cómodo y rápido, pero no exento de riesgos. Eso si, me gustaría que ese debate fuera lo más sereno y con menos efectismos, porque posiblemente las respuestas serían igualmente efectistas.