Esta vez vamos a tocar un tema de mucha relevancia como es la ciberseguridad y las protecciones legales en tiempos de Covid-19, la protección de datos personales en el mundo por el impacto que han tenido por la forma imprevista que las empresas han tenido que reactivarse durante la pandemia y el resguardo de la salud de la población en general.
Estamos hablando de un impacto tremendo por el número de personas afectadas en los picos de la pandemia han puesto sobre la mesa la necesidad de tener una adecuada protección de las personas, las empresas como fuentes de trabajo y la movilidad para evitar salir y trabajar desde casa.
Hay tres lecciones, que consideramos si hemos visto que el virus se reproduce de manera exponencial por el traslado de personas, varias veces puede contagiar una sola persona de acuerdo a su nivel de exposición a otras personas.
La perdida por un virus en una empresa tiene perdidas potencialmente altamente rápidas, para poder reemplazar los datos con los respaldos correspondientes se necesita haber tomados las medidas de ciberseguridad para evitar ese poder de expansión muy rápido que tienen los ataques de ciberseguridad.
En el epicentro de la ciberseguridad están los datos y en el corazón de esos datos están las políticas de cookies que han venido a dejar al descubierto como las arañas o archivos de texto de los motores de búsqueda toman la cada de actuación de los usuarios y la analizan para determinar patrones de comportamiento, análisis de sentimientos, entre otros aspectos.
El amplio aspecto de cuestiones legales, varia como la tecnología misma, donde hay hombre hay sociedad, donde hay sociedad hay derecho, y la suciedad se mudó a la nube.
¿Cómo está la normativa legal en materia de ciberseguridad?
Todas las legislaciones europeas han atacado estos temas y han determinado ciertos aspectos que deben tener estos temas de ciberseguridad, las legislaciones restantes de forma global incorporan obligaciones legales que deben cumplir las empresas, es como vender carros sin frenos, el vehículo a la venta debe contener todo lo que necesario para el usuario que va a utilizar el vehículo.
El sitio web es el vehículo donde los usuarios de una empresa se manejan para el comercio electrónico, informes, tomar información, etc., siendo responsabilidad de la empresa o sitio web los riesgos que se le puedan generar a los usuarios como titulares del derecho de propiedad del dato.
De allí que se analicen los datos sensibles y se protejan legalmente para proteger a la población o usuarios de la web dando las leyes un listado de medidas que debemos respetar, conozca o no el dueño de una página web la ley, es el responsable de cualquier tipo de sucesos en su local digital comercial o sitio web.
En los actuales momentos todas las legislaciones obligan a los responsables de manejo de datos, entre los cuales están los dueños de sitios web, a informar del uso de las cookies bajo riesgo de que tomar la información de los usuarios sin su consentimiento es un delito penal similar a hurtar o robar algo y por lo tanto se establecen elevadas multas.
Cada empresa es la responsable de su o sus sitios web y es quien debe pagar las multas o sanciones, que sumas en el menor de los casos tienen un promedio de 3.000 Euros cada multa hasta multas de miles de millones como ocurrió a Facebook que ha enfrentado juicios y multas, en varios países entre ellos EEUU y la Unión Europea, por motivos que se especifican en cada una de las decisiones adoptadas en los respectivos países.
¿Cuáles son las directrices de protección de los usuarios en ciberseguridad?
La principales son la naturaleza, alcance, contexto y el grado de afectación que puede tener para los usuarios, que son ciudadanos titulares del derecho de propiedad de los datos.
En lenguaje sencillo son los ciudadanos dueños de su identidad, datos bancarios, costumbres, comportamientos y todos los derechos humanos sensibles de ser capturado y manejos en datos para almacenamiento, análisis o determinar o no patrones de comportamiento, entre muchas otras formas de análisis de data.
Es decir, son los titulares de los derechos y obligaciones en la sociedad y como gran parte de la sociedad ahora está en la nube, las normas y protecciones legales también están donde este cada ser humano, objeto de esta titularidad y consecuencialmente de protección legal.
¿Cuál es la importancia de la protección de la información y el tratamiento de los datos de los usuarios?
La personas naturales o jurídicas deben resguardar los derechos de los usuarios y el manejo de esa data, pero en la medida que los sitios web cumplan, a los efectos legales y de responsabilidad es un mejor marketing que un sitio inseguro sin certificados SSL y sin políticas de protección de datos.
Pero es importante, que entiendan los dueños de sitio web, ya legalmente esto es parte del sitio, no es electivo si me multa o no, porque la sanción puede llegar a afectar el uso de ese dominio y se puede perder la marca, o puede afectar a perder el capital de la empresa y todo el tiempo y el esfuerzo realizado para construirlo.
No es electivo, tenerlo o no, deben ir el sitio web, de la misma cómo va el freno cuando compras un vehículo, el pedal de freno pone límites en el recorrido que se realiza, las normas legales ponen límites a la sociedad y protegen a las empresas también del uso de los datos que ellos como titular del sitio también aportar a la nube o sociedad digital.
En un nivel superior están las empresas y titulares de sitios web, pero al igual que los usuarios también son protegidos por las normas legales en materia de ciberseguridad y manejo de datos.
El dato va conforme al nivel del riesgo, desde datos personales, es todo un catálogo que se debe cumplir, actualmente en distintos procesos legales se establecen sentencias que resultan sancionatorias por incumplimiento de simples estándares que analiza la autoridad de control.
¿Paradigmas en la práctica?
Antes corríamos detrás del incidente, entender que había pasado y ahora es mucho más proactiva la respuesta de los países, ya no se espera a hacer preguntas cuando pasaba un incidente.
Ahora se elimina la data para que la transferencia sea lo mínimo posible y esas preguntas se llevaron al antes: ¿Qué quieres de mi uso?¿Qué datos vas a tomar?¿Cómo lo vas almacenas?¿Cómo lo vas a utilizar?¿Qué medidas de seguridad vas utilizar?¿Cómo es el mapeo de riesgos?¿Qué tipo de información es la que está en juego?.
Si es información sensible con qué medidas vas a proteger a los usuarios y que a las ves van a proteger tu capital y tiempo invertido en preservar tu activo digital, dejando de lado aquellas compañías que no tienen cultura preventiva tanto a los ojos del usuario como que no preparan la empresa ante un ciberataque.
¿Cómo te protegen esas normativas legales?
Si tu data es sustraída en un ciberataque puedes demostrar que cumpliste los aspectos que debían ser tomados en cuenta por las autoridades para saber las empresas cumplían con las medidas de tratamiento de datos.
Si sufres un ataque y la información protegía los derechos de terceros, la proporcionalidad con el valor y sensibilidad del dato era respetada, tu empresa va a ser considerada en cumplimiento y por tanto protegida de eventuales responsabilidades o sanciones, que se podían evitar con el cumplimiento de las normativas de protección de datos personales.
Las evaluaciones en materias de impacto de datos, establecen que cuando se hace un desarrollo web sea la checklist en cada uno de los procesos la pauta diseñadas según que la actividad o experiencia de usuario tenga un impacto pequeño, mediano o grande en los derechos de las personas.
En materia de proteger tu tiempo, esfuerzo y capital tomamos en consideración que tu sitio web proteja a los usuarios en la interacción para llevar también la protección legal en tus niveles de prevención, al estar en la web estas en un mundo global. En ese orden, la analítica de datos te puede mostrar si tuviste una visita en otro país u otro continente y ese usuario está protegido y debe estar protegido para que pueda en consecuencia estar protegido tu sitio web frente a un eventual ataque.
¿Es seguridad de la información igual a privacidad?
Son dos cosas totalmente diferentes seguridades de la información es el contrato, es lo que protege esa información, las cláusulas que regulan la relación contractual, el consentimiento de las partes, es las medidas técnicas para salvaguardar la información, por su parte la privacidad lo que ha es entender el flujo de información.
En la práctica su importancia surge mayormente después del ataque, de la toma de conciencia que es cuando las empresas ven las sanciones, siendo que privacidad es el mapeo de riesgos y las cláusulas que protejan el manejo de la información que seguridad de información, la privacidad va a alimentar la salvaguarda con soluciones informáticas y revisa si hay consecuencia legal atrás.
Tratar de entender la parte técnica es más sencilla al revisar las consecuencias prácticas, donde prevenir que los sistemas de las compañías tengan sanciones legales que pongan en riesgo, como Yahoo en 2019, en materia de protección de datos fue objeto de investigaciones que tuvieron presuntas vulneraciones a las cuentas de muchas personas casi 8 millones de cuentas de usuarios, algunos de Argentina, era un caso del año 2013, como se ve los casos son largos y desgastan.
Los cifrados necesarios fueron el tema para ese caso y a criterio de la autoridad debían tomarse las medidas, lo cual indica que teniendo las medidas necesarias salvaguardas tu empresa de ataques y de responsabilidades legales por omisiones.
La protección de los datos de los usuarios garantiza un equilibrio social que las autoridades y el derecho buscan resguardar y que también protegen tu empresa de ataques, de otras empresas de tu nivel de empresas y más grandes donde interactúas.
También evitas que se resienta el valor de la marca de tu empresa y como baja un 30% el valor de una empresa después de un ataque o una sanción, el daño reputacional es algo que preocupa mucho, porque la reputación se gana en años y se puede perder en minutos.
«En todo hay un antes y un después, todo puede afectar la reputación de una marca, es mejor prevenir y tener los aspectos legales en orden»