Europa impone mano dura contra la fuga de datos privados
La negligencia en la custodia de información podrá sancionarse con un 1% de la facturación
Las normas europeas de protección de datos están caducas. Las redes sociales, los buscadores de Internet, la nube o las herramientas de geolocalización han contribuido a un gran cambio social que ha abierto grandes grietas en la privacidad de la información de los internautas. Las filtraciones, pérdidas o robos de datos, la cesión sin saberlo de información sensible o su difusión no son poco comunes. Para terminar con estas vulneraciones, la Comisión Europea propondrá a los países nuevas normas comunes para reforzar la protección de datos de los ciudadanos. El proyecto, que presentará este miércoles la vicepresidenta Viviane Reding, plantea más control para las empresas y administraciones y sanciones ante las fugas de información. También dotará al ciudadano de más mecanismos para reclamar.
La Comisión Europea ha preparado un proyecto normativo que busca unificar las distintas normas de protección de datos de los Estados miembros —la directiva vigente es de 1999 y no todos los países se adaptaron a ella igual— y crear un marco común europeo en el que se salvaguarde más la privacidad del ciudadano.
Se trata, por ejemplo, de evitar situaciones como la que afectó a 77 millones de usuarios de la plataforma de videojuegos PlayStation Network. Sony fue criticada por su lentitud en dar explicaciones, tras varios días con el servicio caído, después de que fueran robados datos sensibles de sus usuarios. En lo sucesivo, cualquier caso de pérdida, robo o piratería debe ser notificado a las autoridades y a los usuarios en un plazo de 24 horas, según establece la propuesta de la Comisión, que incluye también penas para aquellos que no cumplan. Así, los Estados estarán facultados para sancionar las violaciones graves de la privacidad y las negligencias en la custodia de información con multas de hasta el 1% de los ingresos mundiales de la firma. Algo que puede obligar a que las grandes empresas de Internet —como Google o Microsoft, a quienes el cambio inquieta— revisen sus sistemas de salvaguarda de datos.
La norma se aplicará a cualquier empresa con clientes en la UE
La normativa —que deberá pasar ahora por el Consejo Europeo y por el Parlamento— se aplicará a los 27 países pero también a todas las empresas que ofrezcan bienes y servicios a los consumidores europeos. “También a aquellas que tengan sus servidores fuera de la Unión”, aclaró el domingo la vicepresidenta Reding en una conferencia en Múnich.
Esto puede suponer, aclara el abogado Ricard Martínez, de la Asociación Española de Privacidad, que las grandes firmas, que recogen datos en Europa deban responder ante el derecho europeo y las autoridades competentes europeas si vulneran las normas de protección de datos. Actualmente, compañías como Facebook o Google —pese a que recogen datos en Europa y tienen sedes en Irlanda— especifican en sus condiciones de uso que se rigen por las leyes del Estado de California (EE UU).
La propuesta de la Comisión consta de una directiva —que los países tendrán que transponer— que incluirá los principios generales de protección de datos y normas para cooperación policial y judicial entre los 27 países de la UE; y de un reglamento de aplicación inmediata. En él se incluye la necesidad de que los ciudadanos otorguen su consentimiento expreso —y no por defecto, como se hace en algunos sistemas— cuando dan datos personales en la Red. Además, la Comisión plantea que los usuarios deben estar informados en todo momento de lo que ocurre con su información: quién almacena los datos, cómo, con qué propósito, cuánto tiempo. La medida busca garantizar también el fácil acceso a los propios datos y el “derecho a la portabilidad”; un ejemplo: que un ciudadano pueda obtener una copia de la información que ha almacenado en una red social para trasladarla a otra.
Las compañías deberán
informar de pérdidas
de datos en 24 horas
El reglamento podría establecer otra novedad importante: la creación de la figura del “oficial de protección de datos”. La Comisión quiere que todas las firmas y administraciones con más de 250 empleados —también las pequeñas pero que traten datos íntimos— tengan asesoramiento externo o interno en materia de privacidad y salvaguarda de la información. En algunas circunstancias, además, las autoridades podrán pedir análisis previos.
Entre las medidas que se presentarán el miércoles está el polémico derecho al olvido; es decir, el derecho de los ciudadanos a hacer desaparecer de la Red sus datos personales. En su propuesta, la Comisión incide en que los ciudadanos pueden exigir la supresión de esas informaciones —desde datos aparecidos en los buscadores hasta fotos o vídeos que se hayan subido a redes sociales— siempre que no sean de interés público, histórico o estadístico.
La UE quiere también facilitar las reclamaciones de consumidores. Para ello, explica una portavoz de la Comisión, se pondrá en marcha una “ventanilla única”, en la que un ciudadano podrá denunciar ante sus autoridades a una empresa, aunque esta no tenga base en su país.
Iniciativas muy necesarias para José Luis Rodríguez Álvarez, presidente de la Agencia Española de Protección de Datos. “La sociedad ha cambiado, y con Internet y las tecnologías han surgido nuevos riesgos que no estaban cubiertos con la normativa actual. Y ese cambio debe ser de ámbito europeo”, dice. Las autoridades consideran que las nuevas reglas de protección de datos, y el hecho de que sean comunes para toda la UE, pueden ahorrar a las empresas unos 2,3 millones de euros al año.
El debate en torno a la privacidad
- La Unión Europea legisla sobre la protección de datos en plena eclosión de las redes sociales. Facebook, la mayor del mundo, y Linkedln, página de referencia para los contactos profesionales, cuentan en estos momentos con mil millones de usuarios y la nube —un sistema de almacenamiento que permite a empresas y personas acceder a los datos desde cualquier lugar con conexión a Internet— está en pleno auge. Compañías de todo tipo están trasladando datos y operaciones a la nube.
- Una de las fugas de datos más sonadas de los últimos tiempos —Wikileaks al margen— la protagonizó Sony. La compañía cerró su plataforma PlayStation Network (PSN) el 20 de abril de 2011 por un supuesto problema de mantenimiento. Tardó seis días en admitir la existencia de una colosal brecha de seguridad que permitió a un intruso acceder a los datos personales de 77 millones de usuarios: nombre, dirección postal y de correo electrónico, fecha de nacimiento, claves de acceso... 330.000 tarjetas de crédito españolas quedaron expuestas. La firma justificó su tardanza en en que los forenses de seguridad necesitaron ese tiempo para establecer el alcance del ataque.
- Las filtraciones de datos han puesto en jaque también a instituciones como el Ejército británico. En 2009, perdió tres discos duros con información delicada de militares, incluidas relaciones extramatrimoniales, consumo de drogas y prostitución. La fuga —ocurrida en el cuartel de la Fuerza Aérea Real Británica (RAF) en Gloucestershire— fue posible porque los archivos sustraídos no estaban encriptados.
- La compañía israelí RSA, referente mundial en seguridad informática, protagonizó el pasado año otro controvertido episodio. Tropas virtuales de élite accedieron a su red corporativa y robaron códigos que emplearon para espiar a sus clientes, fabricantes de armamento del Ejército de Estados Unidos.
- La Agencia de Protección de Datos española ha investigado casos de exposición de información privada de clientes, pero de menor envergadura. En 2010, por ejemplo, sancionó a la operadora Vodafone tras detectarse que en su página web un cliente podía acceder a información de terceras personas.
Sobre la firma
