¿ESTÁN PROTEGIDOS NUESTROS DATOS EN INTERNET?

Sin ir más lejos, el mes de marzo veíamos en los medios cómo Cambridge Analytica había utilizado sin permiso la información de 50 millones de usuarios de la red social Facebook, habiendo podido influir en la campaña presidencial de los Estados Unidos. Esto supuso un escándalo y la solicitud de explicaciones a la compañía desde ambas orillas del Atlántico.

El viernes 25 de mayo será de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD), que persigue adecuar la legislación en esta materia a la realidad tecnológica y social de la Europa actual. Ante este cambio legislativo, resulta inevitable que nos surjan preguntas como si servirá este reglamento para evitar nuevos escándalos como el de Facebook o si mejorará la protección que tenemos los ciudadanos.

Es cierto que esta normativa introduce importantes novedades encaminadas a proporcionarnos mayor protección en los tratamientos que las empresas hacen de nuestros datos personales. En primer lugar, el reglamento se centra en el ciudadano, por lo que aplica a cualquier empresa que maneje datos de personas físicas europeas. Si hasta ahora Google, Facebook, Twitter, etc. se escudaban en la legislación americana para eludir sus responsabilidades legales, a partir del 25 de mayo lo van a tener más difícil. También exige a las empresas que nos proporcionen una información mucho más clara, concisa y explícita (en esas políticas que siempre aceptamos sin leer). Se acabaron los tiempos de «si no me dice lo contrario, doy por hecho que me autoriza a enviarle información comercial de todo nuestro grupo de empresas».

Hay otro punto que suele ser efectivo para que las organizaciones cumplan la ley, especialmente en nuestro país. Efectivamente, el reglamento incrementa, y mucho, las cuantías en caso de infracción. A finales del año pasado conocíamos que la Agencia Española de Protección de Datos multaba a Google con 300.000 euros por recopilar datos de redes WiFi a través de su famoso Street View, servicio que nos permite visualizar panorámicas de prácticamente cualquier calle. Probablemente sanciones de este importe (en la actualidad no pueden superar los 600.000 euros en España) tengan un impacto más que limitado en estos gigantes de Internet. Pero ¿qué pasaría si, como recoge la nueva legislación, la multa fuera de 20 millones de euros o el 4% de su facturación anual? Es probable que les moviese a adoptar de forma activa medidas de seguridad en vez de limitarse a entonar el «mea culpa» en el congreso estadounidense, como se vio obligado a hacer el fundador de Facebook, Mark Zuckerberg, el pasado mes de abril.

Si nos centramos en las medidas de seguridad, el reglamento introduce un cambio de calado en este aspecto, ya que obliga a las organizaciones a analizar los riesgos que pueden afectar a los ciudadanos cuyos datos maneja y, en función de ello, establecer las protecciones adecuadas. Este enfoque es muy oportuno desde el punto de vista de la seguridad de la información, ya que las medidas que adopte una empresa deben adecuarse a su realidad y a los riesgos que afronta. Una empresa que se tome en serio este análisis protegerá mejor toda su información y, en definitiva, su negocio.

El problema puede venir cuando la entidad no tenga interés real en cumplir el espíritu de la legislación y proteger los datos e información que maneja. El análisis de riesgos no deja de tener un componente subjetivo, por lo que nada asegura que como resultado del mismo se mejore la seguridad que tenía la empresa, especialmente si ésta no tiene voluntad de hacerlo.

En definitiva, si bien el reglamento introduce importantes medidas destinadas a proteger nuestros derechos y libertades, no parece demasiado sensato esperar que nuestros datos vayan a estar directamente garantizados en todos los casos. Y ante esto, ¿qué podemos hacer?

En primer lugar, empezar por limitar la información que damos de nosotros mismos. Cuando facilitamos nuestros intereses y datos de contacto a un fabricante de productos por un descuento (¿quizá de 2 euros?), lo que realmente estamos haciendo es vender nuestros datos por esos 2 euros. Puede que merezca la pena – o no-, pero es importante que comencemos a pensar en ello.

Como ciudadanos maduros podemos asumir riesgos, pero debemos ser conscientes de cuáles son y actuar en consecuencia. Controlar y regular la información que damos de nosotros mismos en Internet y conocer el detalle del uso que otros van a hacer de ella, serán un importante primer paso para estar más protegidos del uso que otros pueden hacer de nuestros datos en la red.

Sergio Oteiza

Ingeniero de Telecomunicación

Director de Datalia Seguridad de la Información

CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CEH (Certified Ethical Hacker), Auditor Jefe ISO 27001