Las filtraciones de datos, atrapadas en un laberinto que termina sin castigos
Internet. La dificultad para definir si hubo negligencia y para calcular el valor de los daños vuelve difícil imponer sanciones.
¿Qué les pasa a las empresas que dejan que les roben nuestros datos personales? En la mayoría de los casos, nada. A veces hay una oleada fugaz de mala publicidad, una breve caída en el precio de las acciones, una demanda colectiva o una investigación que termina en un acuerdo de las partes o en una multa. Es improbable que Facebook deba hacer frente a consecuencias serias por la filtración de seguridad que anunció este año y reveló datos de las cuentas de 50 millones de usuarios.
El problema de la falta de consecuencias resulta ser bastante más complicado que eso. Dos dificultades, en particular, han obstaculizado las reacciones regulatorias y legales efectivas ante las filtraciones: determinar si una compañía ha sido negligente en sus prácticas de seguridad y resolver cómo hacer el cálculo monetario de la información personal robada y los daños ocasionados a las personas cuyos datos se han filtrado.
El hecho de que la información personal de alguien haya sido roba- da de una empresa no necesariamente significa que la empresa se haya manejado de manera negligente para mantener seguros los datos y por lo tanto merezca ser castigada. La filtración de Facebook, por ejemplo, fue posible debido a tres cuestiones vulnerables relacionadas con herramientas de privacidad del usuario y para publicar videos de cumpleaños. Estos puntos vulnerables podrían parecer problemas que Facebook debió haber descubierto antes, pero lo cierto es que todas las compañías tienen fallas como éstas en su software.
La dificultad radica en determinar por dónde pasa la línea entre empresas que cumplen con la diligencia debida y las que son negligentes. En uno de los pocos casos que abordaron directamente este problema, la Justicia dictaminó en EE.UU. que la cadena hotelera Wyndham Worldwide no había proporcionado protecciones de seguridad razonables a sus clientes al no usar firewalls de encriptación y no les requirió a los usuarios que cambiasen las contraseñas por defecto. Pero con una compañía como Facebook, que supera ese grado de exigencia tan bajo, no queda claro cuál es el nivel de seguridad suficientemente alto para cumplir con su responsabilidad ante los clientes.
No sabemos cómo poner un precio a ese tipo de pérdidas de privacidad y eso hace más difícil emplear recursos legales para castigar a las empresas que son responsables. A su vez, esto reduce los incentivos financieros para que todas las compañías in- viertan en la seguridad de los datos de los usuarios. La demanda colectiva llevada a cabo en contra de Ashley Madison, por ejemplo, culminó en un arreglo por US$ 11,2 millones. Y la Comisión Federal de Comercio, que inicialmente procuraba una penalización de US$ 17,5 millones por aquella filtración, aceptó un acuerdo de sólo US$ 1,6 millones. Mientras tanto, la empresa informó un fuerte crecimiento de su número de usuarios.
¿Qué les debe pasar a esas compañías? Idealmente, deberían afrontar una combinación de consecuencias que incluyesen tanto multas como medidas de seguridad correctivas. Las multas deberían ser lo suficientemente considerables como para motivar una mayor inversión en protección de datos y cubrir las pérdidas de los clientes -reconociendo el dinero, el tiempo, la privacidad y la tranquilidad afectados- pero no tan cuantiosas que no pudieran pagarse o que forzaran a la compañía a dejar el país.
Estamos atrapados entre dos extremos: un sistema regulatorio débil en Estados Unidos que rechaza investigar y un sistema en Europa basado en multas tan riguroso que los reguladores nunca van a poder aplicar las máximas sanciones posibles. Ninguno de los dos se acerca al equilibrio adecuado. Y hasta que lo hagan, las empresas van a seguir escapando a las consecuencias serias de sus fallas de seguridad. ■
(*) Profesora adjunta del Instituto de Tecnología de Rochester. Traducción: Román García Azcárate