En los últimos treinta días han sido noticia unas cuantas brechas de seguridad destacadas: la primera ha tenido como víctima a la compañía aérea British Airways. La segunda al IESE. Después hemos asistido a la madre de todas las brechas, la de Facebook. Y la semana pasada, la implosión de Google plus, tras conocerse otro incidente ocultado desde marzo.
De acuerdo con el RGPD, es obligatorio notificar la brecha seguridad a los titulares de los datos afectados por la misma, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.
En este post me interesaré por la política de comunicación por parte de los responsables, a los usuarios afectados.
Sólo tengo datos sobre las comunicaciones realizadas en los dos primeros casos British e IESE. En ambos casos se han difundido en redes sociales, las notificaciones realizadas por las compañías afectadas .
Si uno juega a lo de la “agudeza visual” que decía Forges, encuentra diferencias llamativas.
La brecha de la British
En el caso de British Airways, el mensaje al cliente es conciliador: la compañía se muestra explícitamente afectada por lo ocurrido.
La primera línea es una disculpa.
La brecha del IESE
En cambio, en el caso de la notificación del IESE, el “lamentamos profundamente este hecho” no llega hasta prácticamente el final de la comunicación: hasta ese punto, el texto únicamente se centra en lo que ha sufrido la propia organización, en vez de lo que podría pasarle al cliente notificado.
También se echa de menos información específica sobre el hecho de que los datos de los antiguos alumnos y clientes de la organización hayan sido puestos a disposición de todo perro Pichi a través de un enlace posteado en redes sociales, y por tanto, de la necesidad de que todos los afectados actualicen todas sus contraseñas, sobre todo en el caso (muy extendido por desgracia) de que se emplee la misma contraseña o contraseñas muy similares en distintos servicios, especialmente alguno crítico, como la banca online.
Disculpas y asunción de responsabilidad
Uno entiende perfectamente al/los profesional/es que ha/n tenido que redactar esta notificación: no es nada fácil.
Varias espadas de Damocles penden sobre una organización cuando le pasa una cosa esta: las famosas sanciones del RGPD, y la posible reclamación de responsabilidad civil por una multitud de personas incluidas en las bases de datos afectadas.
En esta tesitura la disculpa normalmente se asimila a una asunción de responsabilidad, y por tanto, por una mera cuestión de defensa, se niega la mayor: se obvia o minimiza la responsabilidad.
¿Fuerza mayor? ¿caso fortuito? ¿negligencia grave?
La AEPD se ha hartado a decir que, en caso de lesión de derechos, contará con el Delegado de protección de datos (o el responsable de seguridad) de la empresa para que trate de mediar y reparar el daño causado sin que necesariamente se inicie procedimiento sancionador.
Me parece que si de lo que se trata es de reparar, compensar, restañar el daño causado, uno no puede empezar negando la mayor.
En esto como en muchas otras cosas, creo que el RGPD ha cambiado las cosas por completo: ahora toca coger el toro por los cuernos y disculparse. Pedir perdón siempre.
Quedas mejor. Y es gratis.
Es, de hecho, lo único que te van a salir gratis si te han entrado hasta la cocina, amigo.
Los últimos, por ahora: Equifax, Facebook y Google.
A Equifax (ojo: a la filial británica, no a la matriz estadounidense, la que realmente sufrió la contingencia), le ha caído una sanción de medio millón de libras por su brecha de 2017. No se queden con la cantidad, sino con el hecho de que era el máximo permitido bajo la normativa vigente en aquel momento.
¿A cuánto hubiera ascendido una sanción de máximos bajo el RGPD?
No pierdan el tiempo haciendo cábalas: lo sabremos en unos meses.
Y lo sabremos a la vez que Facebook, que acaba de pegar el enésimo petardazo en materia de seguridad.
Pero esta vez no con las timideces demostradas con Cambridge Analytica.
Esta vez en plan mega-efecto-dominó: gracias a su sistema de login automático en otros servicios (auténtico agujero negro de privacidad, y tal y como se manifiesta, también de seguridad), ha comprometido las cuentas de sus usuarios en otros servicios hegemónicos, propios y ajenos –Instagram, Tinder, Spotify, los que quieras-.
Lo de Google plus, también tiene lo suyo. En definitiva, se enteraron de la brecha, la arreglaron y enterraron, y cuando la prensa la sacó a la luz, cerraron el servicio. A eso le llamo yo reinterpretar la accountability.
En fin, de los GAFA sólo nos quedan sin tacha, o mejor dicho, sin brecha, las vocales.
Y curiosamente a la que mejor le va es a la empresa de la manzanita, que es la que más se esfuerza por dar a la privacidad de sus clientes la importancia y el respeto que se merece.
“Privacy by design” hay que decirlo más
En estos tiempos que corren, cualquier base de datos es susceptible de ser atacada con más o menos inquina, por terceros interesados en poner de manifiesto nuestras vulnerabilidades.
El tiempo, y normalmente la autoridad competente, tendrá algo que decir sobre si las medidas adoptadas eran las adecuadas a los riesgos inherentes a nuestra actividad.
Pero uno de los fundamentos esenciales del nuevo reglamento (y del Privacy by design) es concebir nuestros tratamientos de datos centrándolos en el usuario, en el titular de los datos.
Si de verdad hacemos eso, (si de verdad hemos hecho eso), será más improbable que sus datos de nuestros usuarios o clientes se ven comprometidos.
Pero si de verdad pensamos eso, si de verdad sentimos eso, tendremos que estar todos de acuerdo en que el primer paso para reparar el daño causado en una brecha seguridad, es pedirle disculpas por lo sucedido.
Haya habido piratas informáticos de por medio, haya habido o no negligencia en la vulnerabilidad, el pobre interesado es el que menos culpa ha tenido en lo sucedido.
Y a la hora de dilucidar (o negociar de buena fe) responsabilidades, parece que una buena disculpa es lo más decente.
Por eso, retorciendo el lema de una peli mala, “notificar (brechas) es tener que decir siempre lo siento”.
Jorge García Herrero
Abogado y Delegado de Protección de Datos