Facebook ha sido, en los últimos meses, el protagonista indiscutible del escándalo más grande y reciente de fuga de datos. Cambridge Analítica utilizó datos de los usuarios de esta red social con el fin de influir en su decisión política final. Solo en Estados Unidos, la cuantía de personas afectadas ascendía a los 50 millones. Pero este no ha sido el único caso.
La falta de mayores mecanismos de cifrado de la información han afectado a todos los sectores. Cabe resaltar el caso de Equifax, empresa dedicada a hacer cálculos de crédito de clientes, que sufrió en noviembre de 2017 una fuga de datos que afectó a más de 140 millones de personas y a su información bancaria. Pero también el de la aplicación de citas para hombres homosexuales, Grindr, que el pasado febrero fue descubierta "traficando" con datos tan sensibles como el estado de VIH de los usuarios.
Twitter ha sido otra víctima, pues en 2016 un ciberdelincuente consiguió franquear sus mecanismos de defensa para publicar 32 millones de contraseñas. Algo similar a lo que le ocurrió a principios de mayo, cuando la propia red social recomendó a sus usuarios revisar la posibilidad de cambiar su contraseña de acceso tras detectar un problema técnico en sus sistemas internos, aunque en esa ocasión indicó que no hubo filtración externa.
Todos estos casos -y unos cuantos más- han llevado a la Unión Europea a replantearse sus leyes de protección de datos. Así en 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), una normativa que sustituyó a la que estaba vigente desde 1995. El pasado viernes 25 de mayo se cumplieron dos años desde su implantación, lo que significó que el tiempo de adaptación a la nueva normativa había finalizado. Todas las empresas, ya fueran grandes o pequeñas, han debido cambiar sus políticas de seguridad, cifrado y confidencialidad para adaptarse a la nueva norma.
Dos años que, en realidad, se han convertido en un escaso mes, en el que todas las empresas y administraciones públicas se han apresurado para poner los datos de personales de terceros al mejor recaudo. La oleada de e-mails que millones de usuarios han recibido en los últimos días, solo confirma la realidad social del mundo online. "El usuario sigue pervirtiendo sus datos como le da la gana", como señala experto en seguridad informática y CEO de New Vision Softlan, Amador Pérez Trujillo.
Este Reglamento, como informa la Agencia Española de Protección de Datos (AEPD), "supone un cambio de mentalidad con respecto al antigua norma , al apostar por el principio de la responsabilidad activa de las organizaciones que tratan datos". Por lo tanto, son ellas quienes deben "adoptar las medidas necesarias para garantizar y estar en condiciones de demostrar que cumplen con el Reglamento".
Así, las empresas, ya sean grandes o pequeñas, estarán obligadas a tomar unas medidas de seguridad extra para los miles y millones de datos que gestionan. Desde cifrados extremos y muy estrictos, hasta preparar la plataforma para que, en el momento que el usuario lo requiera, pueda disponer de manera casi inmediata de sus datos, pasando por conseguir un consentimiento explícito de los usuarios para sus condiciones de servicio.
Pérez Trujillo considera que "la ley es importante y necesaria", pero que cojea en el momento en el que otorga una "responsabilidad" a las empresas sobre el buen uso de esos datos, quitándosela de la espalda al usuario. Al final, como señala el experto en seguridad informática, el problema no está en que "te roben los datos", sino en que "el usuario los está dando" sin reflexionar sobre las consecuencias. "Tenemos que pensar en que nada es gratis", afirma Pérez Trujillo, porque si lo es, significa que el usuario es justamente el producto.
El nuevo Reglamento confiere unos nuevos -o no tanto- derechos para el usuario. Concretamente, la AEPD afirma que refuerza "el control de estos sobre sus datos personales en un mundo altamente tecnologizado y les otorga una mayor protección ante empresas ubicadas fuera de la UE". De esta manera, y aunque ya estaba en vigor, refuerza el derecho al olvido, pudiendo los usuarios solicitar a servicios de internet y empresas que borren todos sus datos; incluye el derecho a la portabilidad, que permite que el usuario pueda descargar todos los datos que tiene la empresa registrada en unas horas; y también a la rectificación.
A pesar de que el Reglamento está orientado especialmente a las grandes empresas, a quienes más afectará será a las pequeñas y medianas (pymes). "Muchos empresarios no están preparados y lo ven como una piedra más en el camino", explica Pérez Trujillo, quien recuerda que "la seguridad no es una inversión si no un gasto".
Con las nuevas estructuras de trabajo, en las que los trabajadores suelen hacer uso de un ordenador o tablet personal, la tarea se complica. A cada uno de estos dispositivos hay que dotarles con una fórmula de cifrado para sus documentos. Esta seguridad debe estar realizada de tal forma que los documentos sean imposibles poder abrir sin un código de seguridad concreto, ya sea una contraseña o una huella dactilar. De lo que se trata es que "en caso de incidente, la información no quede en plano".
El problema llega con el mantenimiento de esa estructura, pues, en muchas ocasiones, las pymes no tienen los recursos suficientes para llevarlo a cabo.
Las grandes empresas, por el contrario, aunque tendrán que hacer justamente lo mismo, tienen recursos suficientes como para llevarlo a cabo. Y lo harán sin problemas porque de la transferencia de datos depende su negocio.