Europol teme picaresca ante el reglamento de protección de datos
Un informe de Europol, la agencia policial de la Unión Europea (UE), alerta de que, con el Reglamento de Protección de datos (RGPD) de la UE –que entró en vigor en mayo de este año–, la lucha contra el cibercrimen se ha vuelto más difícil.
En primer lugar el organismo policial advierte de que las empresas que sufran un ciberataque pueden sentirse tentadas a negociar y pagar a los hackers, a cambio de su silencio, para evitar las multas –de hasta 20 millones de euros o el 4% de la facturación global– que este reglamento establece si se considera que la compañía afectada no actuó de forma diligente en la protección de la información privada de sus usuarios o clientes. “Las empresas podrían pagar un rescate a un pirata informático, por la no divulgación del incidente, de menor cuantía que la multa que podrían imponer las autoridades competentes”, dice el informe.
Para Europol, el riesgo reside en que los sobornos que paguen las compañías afectadas sirvan “sólo para financiar más ataques y otras actividades delictivas”, ya que estas no tendrán ninguna garantía de que “el atacante no divulgará ni explotará la información” obtenida.
Por su parte, la Comisión Europea ha dicho que nunca fue consultada para la elaboración de esta investigación policial, pero ha recordado que “el RGPD incluye la obligación clara de las empresas de notificar los ataques”, y que las autoridades de protección de datos de cada uno de los países miembros de la UE –responsables de imponer las sanciones– “deben evaluar varios criterios antes multar a una empresa”: “Uno de ellos es el nivel de cooperación de la compañía con las autoridades, incluida la información sobre las violaciones de datos”, en un plazo máximo de 72 horas desde su descubrimiento, según dijo un portavoz de la Comisión a Euroactiv.com.
Europol también lamenta las dificultades técnicas que ha introducido el RGPD en la investigación de los ciberdelitos. La crítica se centra en el funcionamiento de la base de datos WHOIS, un repositorio en línea de acceso público, que vincula los nombres de dominio registrados con el nombre y datos de contacto de su propietario. Con el RGPD, la Junta de la Corporación de Internet para Nombres y Números Asignados (ICANN, por sus siglas en inglés) estableció la eliminación de todos los datos personales de los registros WHOIS. Europol dice que esto “complica las investigaciones de delitos cibernéticos”, ya que los investigadores de todo el mundo ya no tienen acceso sin restricciones a los mismos registros de datos que anteriormente ayudaban en las investigaciones.