Feliz día de la privacidad
En el día patrio entra en vigencia una nueva regulación de datos personales. Por eso, las empresas cambian todas sus políticas de privacidad y su casilla de mail seguramente lo sabe. Ahora, el usuario tendrá la potestad sobre sus datos, tanto para ingresarlos como para borrarlos.
En los últimos días habrán recibido decenas de mails expresando los cambios de políticas de privacidad. ¿Cuáles? En todos los sitios que usás, que alguna vez usaste y que ni siquiera te acordabas que habías usado.
Desde el 25 de mayo muchos de los sitios -la gran mayoría- que consumimos van a cambiar su política de privacidad para cumplir con los requisitos del Reglamento General de Protección de Datos de la Unión Europea (RGPD). No son sitios inocuos, sino empresas a las que les entregamos algo tan importante como nuestra información.
Si bien esto ya data de 2016, entra en vigencia el 25 de mayo como un derecho fundamental de la carta de Derechos de la Unión Europea. Mañana entrará en efecto el RGPD, un esquema de control y protección de datos personales, que establece las responsabilidades de las organizaciones que solicitan, albergan o tratan datos.
A partir de ahora, las empresas tendrán que notificar cualquier fuga o infracción de información en las 72 horas de sucedido el incidente. Si no lo cambian serán multados, como le sucedió a Facebook.
El objetivo de la Unión Europea es proteger la información electrónica privada de los ciudadanos y otorgarle más poder a las instituciones que regulan la gestión de la privacidad.
Se entiende por dato personal nuestro nombre completo, los datos biométricos (peso, estatura, huella dactilar…), de salud y genética; geolocalización, información financiera, direcciones IP y cookies.
No es que antes no había políticas de privacidad, pero a partir de ahora deberán estar expresadas en un lenguaje sencillo y claro, con un sistema transparente y plausible de ser revocado en cualquier momento. Aquí viene a colación el Derecho al Olvido, que es la posibilidad de solicitar que se eliminen algunos datos personales cuando sea requerido.
En Argentina no aplica este reglamento. La ley de protección de datos personales es la 25.236 y necesita una actualización que contemple todo lo mencionado. Si bien se está trabajando de la mano de la Agencia de Acceso a la Información Pública en un anteproyecto de ley con el objetivo de proteger los datos y que se informen, de manera obligatoria, los incidentes de seguridad de las empresas. Por ejemplo, un hackeo a un banco o un agujero de seguridad en una aplicación financiera.
Se abre una nueva puerta de acceso al cibercrimen. Según informan en la Agencia EFE especialistas de seguridad, "en un entorno de miedo a las multas y al posible impacto tan negativo en la reputación de las empresas, los cibercriminales aprovecharán la vía de la extorsión con el robo de datos personales, cuyo retorno de inversión es muy alto y el riesgo muy bajo", dice Rosa Díaz, directora general de Panda Security.
Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó a El Canciller: "Cada nuevo avance de la tecnología puede dar lugar a que los cibercriminales obtengan una nueva forma de hacer dinero, si no se tienen las medidas de cuidado adecuadas. Ya con los casos de ransomware, fuimos testigos que hay muchos usuarios y empresas que están dispuestos a pagar cuando se trata de su información la que ha sido comprometida y quieren volver a recuperarla. Incluso se abrió mercado para nuevos productos como los seguros en casos de fugas de información o alguna intrusión en los sistemas".
De todos modos, Gutiérrez aseguró que este tipo de reglamentaciones buscan precisamente que las empresas protejan su información y, si realmente las implementan de manera sistemática, van a reducir la posibilidad de que ocurra algún incidente de este tipo.
Precisamente un control mal implementado, una reglamentación adoptada solo por cumplir o una tecnología desactualizada van a abrir la posibilidad para que un atacante tome el control de la información corporativa.