Imagina que el Estado perdiera tu certificado de nacimiento. O que todo tu historial médico se esfumara. O que todos tus títulos académicos desaparecieran y lo único que pudieras mostrar es un diploma enmarcado al que hace años que le perdiste la pista.
 
¿Qué pasaría contigo si el sistema perdiera tu identidad? El problema no es hipotético. Hace unas semanas, un cortocircuito convirtió en humo la nube informática de Corea del Sur.
 
A las tres de la madrugada del 26 de septiembre, un fallo eléctrico originó un incendio en la sala de servidores del quinto piso del Servicio Nacional de Recursos Informáticos, en la ciudad de Daejeon. Ardieron 96 de los 647 sistemas considerados «críticos» para el funcionamiento de la Administración surcoreana, incluido G-Drive, su sistema de almacenamiento online.
 
G-Drive estaba en uso desde 2018, cuando el Gobierno de Seúl exigió a sus funcionarios que —por seguridad— guardaran allí todos sus documentos de trabajo, en vez de en sus ordenadores personales.
 
Pero resulta que la nube de G-Drive estaba desplegada en un único centro de datos —el edificio de Daejeon— y no se hacía ninguna copia de seguridad del mismo, así que, con el incendió ardieron 850 terabytes de informa pública, datos guardados por 750.000 trabajadores públicos de ministerios, universidades y hospitales.
 
Un mes después, las tareas de recuperación —en las que se había involucrado hasta el presidente coreano, Lee Jae-myung— habían conseguido volver a poner en funcionamiento 32 de los 40 servicios de grado I, los más críticos, y recuperar un 60 % de los documentos perdidos. Un mes después.
 
En un país que presume de ser una potencia tecnológica, la Administración entera dependía de un único edificio, de un único cable, de un único punto de fallo. Pero, ¿podría pasar eso también aquí?

En España tenemos un Esquema Nacional de Seguridad que establece una serie de requisitos de copia de seguridad para los servicios electrónicos de la Administración, aunque los establecidos de forma general son bastante laxos.
 
La exigencia de almacenar al menos una de las copias de seguridad en una ubicación diferente —de tal manera que un incidente no pueda afectar simultáneamente tanto al servicio original como a la copia de respaldo, como pasó en Corea— solo se establece para el nivel más alto, aquellos cuyo fallo pueda «causar un perjuicio grave a algún individuo, de difícil o imposible reparación».
 
El problema es que apenas hay información pública sobre la implementación práctica de esas medidas de seguridad y, si alguna vez sufrimos un incidente, a lo mejor descubrimos —como nuestros amigos coreanos— que nunca existió.
 
Disculpad mi desconfianza, pero nuestra legislación también establece que nuestras Administraciones tienen la obligación de comprobar si ya existe una solución previa que pueda satisfacer total o parcialmente sus necesidades, antes de la adquisición o desarrollo de una nueva aplicación informática. Y, sin embargo, nos las hemos apañado para tener 17 sistemas informáticos distintos para gestionar cada servicio de salud que gestionan nuestras 17 comunidades autónomas.

En el extremo opuesto tenemos el ejemplo de Estonia, para la que esa estrategia de respaldo es una cuestión de estado de la que sus ciudadanos tienen el derecho de conocer hasta el más mínimo detalle.
 
El país báltico mantiene en Luxemburgo una réplica de sus diez datasets estratégicos (sistema judicial, tesorería y Hacienda, registro de la propiedad y catastral, censo, registro mercantil, boletín oficial del Estado y registro civil), dentro de una «embajada digital» que garantiza la continuidad del Estado incluso aunque este pierda su propia soberanía territorial.
 
Legalmente, el acuerdo suscrito entre Estonia y Luxemburgo concede a los servidores estonios privilegios similares a los de una embajada diplomática, en cuanto a inmunidad y jurisdicción.
 
En España, nuestras Administraciones han hurtado del debate público la existencia de un plan similar, pero quizás ha llegado el momento de abrirlo.
 
Si no quieren o no pueden tener un plan de respaldo nacional centralizado como el estonio, que soportaría hasta una invasión alienígena, lo mínimo que deberíamos saber es si al menos existe un plan sobre cómo restauraríamos nuestra información en caso de que todo fallara.

Supongo que se confía en la dispersión geográfica de la misma o incluso en la existencia de copias físicas, pero está por ver que esa confianza esté justificada.
 
Los notarios, por ejemplo, envían un duplicado digital de cada documento que firmamos al Índice Único Informatizado Notarial —una base de datos cifrada y alojada en varios centros de datos, gestionados por el Consejo General del Notariado— además de archivar el original físicamente en sus notarias.

Esa copia física de nuestra información cada vez es menos frecuente y, su política de custodia, absolutamente inconsistente.
 
A nivel académico, hasta 2015, las universidades guardaban una copia impresa del expediente de los alumnos, pero desde entonces solo conservan un registro digital. El Ministerio de Educación no guarda copias de expedientes, solo datos agregados de titulaciones, pero no las notas ni los documentos administrativos de los alumnos. Si una universidad perdiera sus datos, los expedientes desaparecerían y no podríamos reconstruirlos.
 
A nivel sanitario, la cosa es aún peor. Para alguien como yo, un ciudadano de 48 años que ha vivido su vida a caballo entre Madrid y Galicia, sería prácticamente imposible reconstruir su historial médico completo porque… no existe como tal.

No hay copia física del mismo y la digital está fragmentada. Cada uno de esos 17 sistemas de salud guarda nuestro historial medico dentro del mismo, pero si has sido atendido en otras comunidades esa información no les consta. El Ministerio de Sanidad mantiene la plataforma HCDSNS (Historia Clínica Digital del Sistema Nacional de Salud), pero solo intercambia resúmenes clínicos básicos, no toda la historia.
 
Hoy por hoy, no existe forma alguna de hacernos con una copia integral y verificable de nuestra historia médica, aunque la ley 41/2002 de Autonomía del Paciente determine que cada ciudadano tiene derecho a «acceder a la documentación de su historia clínica y a obtener copia de los datos que figuren en ella».
 
No es la única ley relacionada con nuestra información que la Administración incumple. El Reglamento General de Protección de Datos o RGPD no hace excepciones con los organismos públicos, entonces ¿por qué no podemos pedir al Estado una copia verificable de todos los datos que gestiona de nosotros?
 
Lo preocupante no es que nuestros políticos no tengan respuestas sino que, hasta ahora, han evitado su responsabilidad que es al menos hacerse estas preguntas.

Si de verdad queremos encaminarnos a una democracia digital, más tarde o más temprano, tendrán que hacerlo.

¿Quieres ayudarme a difundir este texto?