En cualquier conversación con tecnólogos, emprendedores o profesionales del sector siempre surge el mismo lastre a la innovación: la regulación. Por definición, las normas que guían los desarrollos digitales suelen ir por detrás de los avances técnicos. Es algo normal, lógico incluso, aunque cosa bien distinta es la velocidad a la que las Administraciones se adaptan a estos cambios.
Pero hay otro aspecto que suele traer de cabeza a las empresas en cuanto a la normativa se refiere: la sobrerregulación. Desgraciadamente, es frecuente que tras esa laguna legislativa inicial, la AAPP actúe emitiendo tantas normas y con tanto nivel de detalle que estrangule de facto a la innovación. Tampoco es nada nuevo ni desconocido en los mentideros de la industria.
Y podríamos añadir a renglón seguido una variante de lo anterior: cuando la regulación cala a distintos niveles internacionales, nacionales y regionales. Con ello, de un aspecto común y con objetivos similares, acabamos teniendo una disparidad de leyes y estándares heterogéneos que mata de burocracia cualquier propósito de desarrollar una propuesta digital que ataña a varias zonas geográficas.
Baño de siglas
Les voy a permitir que ahora me den licencia para abrumarles a base de siglas por doquier. Voy a utilizar, para ello, las regulaciones que han de cumplirse en materia de privacidad y ciberseguridad.
Solo a nivel internacional vemos estándares y normas como la ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, SOC1, SOC2, SOC3, PCI DSS, CSA STAR o la MPAA.
En Estados Unidos la lista es larga, muy larga: HIPAA, HiTrust, FedRAMP, FIPS 1402, COPPA, FERPA, NIST 800-53, NIST 800-171, NIST 800-34, SEC Rule 17a-4, CFTC Rule 1.31, FINRA Rule 4511, HECVAT, DISA IL2 y CCPA. Canadá, por su parte, suma a la lista dos normas más: Personal Information & Electronics Documents Act y la Personal Health Information Protection Act.
Europa, poniendo los ojos en nuestro lado del Atlántico, no se queda atrás. Enfrentamos no sólo la regulación comunitaria (GDPR, EU Model Contract Clauses, TISAX, EBA Guidelines), sino también la propia de cada país. Por ejemplo, en España contamos con nuestro propio Esquema Nacional de Seguridad, Alemania presenta la BSI C5, Suiza la FINMA y Francia la HDS.
Si cogemos un vuelo a Asia-Pacífico nos encontramos más de lo mismo, ya sea en Australia (Privacy Principles, Prudential Regulatory Authority Standards, IRAP), Japón (FISC, My Number Act, NISC, CSV Guidelines, 3G3M) o Singapur (MTCS Tier 3, OSPAR, MAS Guidelines, ABS Guide).
¿Han contado cuántas siglas y nombres de normativas les he planteado en esta columna? Alrededor de 50... y recuerden que solo he hecho referencia a algunos países concretos cuando hay cientos de otras naciones en todo el globo.
¿Cómo podría una empresa al uso estar segura de que no incumple cualquier cláusula secundaria y escrita en letra pequeña de la otra punta del planeta?
Sinceramente, parece imposible con este sinfín de leyes en torno a un mismo campo; al menos si la compañía se plantea cumplir con estas leyes de forma interna... Otra cosa es si se apuesta por proveedores de nube pública que, por su propio alcance, no les queda otra que estar atentos a todo ese plantel de normas heterogéneas.