Un problema que gairebé ningú veu
Un advocat rep un document sensible del seu client. Un metge comenta un diagnòstic amb un col·lega. Un psicòleg coordina amb un psiquiatre el tractament d'un pacient. Un assessor fiscal envia les dades d'una declaració. Tots ho fan per missatgeria. I gairebé cap d'ells s'ha aturat a pensar on acaben aquests missatges.
La resposta, en la majoria dels casos, és: en un servidor que no controlen, en un país la legislació del qual no coneixen, gestionat per una empresa el model de negoci de la qual és precisament acumular dades. El missatge pot estar xifrat en trànsit, però un cop arriba al servidor, és una còpia emmagatzemada en la infraestructura d'un tercer.
El que diu la llei
El RGPD europeu és clar: qui gestiona dades personals de tercers és responsable de protegir-les amb mesures tècniques adequades. No n'hi ha prou amb bona voluntat. No n'hi ha prou amb que l'app digui que xifra. Si les dades del teu client són en un servidor que no compleix la normativa europea, tu ets el responsable.
I no és només el RGPD. El secret professional — regulat per a advocats, metges, psicòlegs, auditors i molts altres — exigeix que la comunicació amb el client sigui confidencial. No confidencial "en la mesura del possible". Confidencial de veritat. Si el canal que utilitzes no pot garantir-ho tècnicament, estàs assumint un risc que no hauries d'assumir.
Què necessita un professional?
El que necessita un professional que gestiona informació sensible és sorprenentment simple. Necessita un canal on els missatges vagin directes del seu dispositiu al del destinatari, sense passar per cap servidor intermedi. On no quedi còpia en cap núvol. On no calgui donar un número de telèfon personal. I on la infraestructura compleixi íntegrament la normativa europea.
No necessita una app complexa. No necessita formació. No necessita canviar la seva forma de treballar. Necessita exactament el que ja fa servir — missatgeria instantània — però amb la garantia tècnica que la informació no surt dels dispositius de les dues persones que participen en la conversa.
La diferència entre xifrar i no emmagatzemar
Xifrar un missatge i guardar-lo en un servidor és com ficar un document en una caixa forta i deixar-la a casa d'un desconegut. La caixa forta és bona, sí. Però el document segueix sent a casa d'un altre. I aquest altre pot rebre una ordre judicial, pot patir un atac informàtic, o pot simplement canviar les seves condicions de servei.
L'alternativa és que el document no surti mai del teu despatx. Que vagi directament de la teva taula a la taula del teu client, sense passar per cap intermediari. Això és el que fa la comunicació directa entre dispositius: elimina l'intermediari. No és que l'intermediari sigui dolent. És que l'intermediari és innecessari. I l'innecessari, en seguretat, sempre és un risc.
Una qüestió de responsabilitat
Al final, la pregunta que tot professional hauria de fer-se és: si demà es filtra una conversa amb el meu client, puc demostrar que vaig fer servir un canal tècnicament segur? Puc demostrar que les dades no van sortir mai dels nostres dispositius? Puc demostrar que no vaig dependre de la bona voluntat d'una empresa d'un altre continent?
L'eina que tries per comunicar-te amb els teus clients diu molt de com valores la seva confiança. I hi ha eines que estan dissenyades exactament per a això: perquè la confiança no depengui de promeses, sinó de l'arquitectura.