Por qué el usuario conocerá antes la próxima brecha de seguridad

Empleados de la agencia de seguridad cibernética de Corea del Sur analizan la información./Efe
Empleados de la agencia de seguridad cibernética de Corea del Sur analizan la información. / Efe

Las empresas deberán informar a los afectados en menos de 72 horas

ARANTXA HERRANZMadrid

En la misma semana se ha conocido una importante brecha de seguridad en Uber ocurrida hace dos años y el hecho de que Google seguía geolocalizando a todos los usuarios de Android aunque no tuvieran activada la posición GPS. Dos incidentes que vuelven a situar la protección de los datos de los usuarios en la diana. ¿Tiene la privacidad los días contados?

En 2010 Mark Zuckerberg declaró que la era de la privacidad había acabado. Casi ocho años después de aquella polémica frase, los expertos aseguran que vivimos en la economía del dato, que se ha convertido en el nuevo petróleo, en la base con la que las empresas hacen sus negocios.

Y aunque es cierto que existe una diferente manera de regular la protección de los datos personales en Estados Unidos y en Europa, a ambos lados del Atlántico han generado controversia y polémica dos noticias conocidas en una misma semana: el hackeo de las cuentas de todos los usuarios de Uber y el hecho de que Google siguiera conociendo la posición de los usuarios de Android, incluso con el sensor GPS apagado de los terminales.

En el caso de Uber una de las polémicas radica en que se ha conocido el incidente dos años después de que éste sucediera. La gravedad, aquí, reside en que se puedan filtrar los datos personales de quienes han sido usuarios de este servicio y que eso pueda provocarles otros problemas de seguridad en otras web y aplicaciones.

En el caso de Google la empresa recababa voluntariamente los datos de geolocalización de las personas sin su consentimiento. «La cantidad de información que estos datos ofrecen es problemática, no solo porque te pueden hacer la trazabilidad de todos tus movimientos, sino porque pueden cruzar esos datos con toda la información que Google posee de cada persona, como historiales de búsqueda y otra información», explica Marcos Judel, abogado y socio de Audens.

¿Tenía razón Zuckerberg cuando pedía que nos despidiéramos de la privacidad? «Es muy difícil definir qué es la privacidad, pero todo el mundo sabe cuándo se ha visto afectada», explica Marcos Judel, abogado y socio de Audens.

Nueva directiva en 2018

Precisamente por eso la Unión Europea ha legislado lo que se conoce como el Reglamento General de Protección de Datos, que entrará en vigor el 25 de mayo de 2018 en los 28 países que forman la Unión. «La finalidad es que se aumente la conciencia sobre la protección de datos y los derechos de los usuarios», explica este experto.

Evidentemente, brechas de seguridad van a seguir existiendo porque la seguridad completa y 100% no existe. Además, hay que tener en cuenta que «los hackers lo que quieren, precisamente, es reventar los sistemas de seguridad y acceder a ellos».

¿Qué cambia entonces con la entrada en vigor de este reglamento? Que las empresas que sufran un incidente de seguridad de este tipo tienen 72 horas para comunicarlo, tanto a la autoridad de protección de datos competente como a los usuarios cuya información se haya podido ver comprometida como consecuencia de este incidente. «No solo hay que cumplir las medidas de seguridad que impone el reglamento, sino que hay demostrar que se cumplen de verdad», explica Marcos Judel. Dicho de otro modo, este abogado considera que se van a evitar los casos de dejación y se va a poner al usuario en el centro de todos los desarrollos y políticas.

Así, las empresas deberán informar de cuáles son las medidas que tenían adoptadas para intentar evitar este tipo de ataques y las soluciones que se van a aplicar para mitigar los efectos de dicha brecha de seguridad. «Las multas son ponderables, no fijas, y decide la autoridad competente», relata el abogado y experto.

En cuanto a situaciones como las protagonizadas por Google esta semana, el nuevo reglamento también pretende evitar que los términos y condiciones de acuerdo que aceptamos sigan siendo tan largos y farragosos. «Una de las principales bases que impone es el consentimiento de las personas. Hay que informar claramente qué tipo de datos se van a recopilar y para qué fin y qué uso», detalla Judel. Además, esta información tendrá que ser transparente y las aplicaciones y servicios deberán ser lo más restrictiva posible por defecto. «Será luego el usuario el que pueda ir abriendo y decidir cuánto de público quiera que sea su perfil y su información», señala el experto.

Contenido Patrocinado

Fotos

Vídeos