En México, el debido cumplimiento de la Ley Federal de Protección de Datos Personales, entendido como un proceso y no un proyecto, abona precisamente a prevenir las vulneraciones de seguridad.

 

Por Rodrigo Orenday Serratos

Durante el año pasado y el presente, los medios han dado cuenta de gran cantidad de vulneraciones de seguridad en los sectores público y privado en EU, desde la minorista Target hasta los Estudios Sony e incluso la Oficina de Administración de Personal (OPM) del gobierno federal estadounidense. Más recientemente, el sitio de contactos para amoríos extramaritales Ashley Madison, con sede en Canadá, también fue blanco de un ataque, por el cual los datos de sus usuarios han sido hechos públicos.

PUBLICIDAD

Como en todos los casos de este tipo, podrían extrapolarse elementos comunes, más incluso si se hiciera un análisis forense. Sin embargo, para efectos de esta nota, los que conviene destacar son dos:

  1. La omisión, casi negligente, en la actualización de los sistemas de Sony y la OPM.
  2. En los cuatro casos, uno de los efectos colaterales fue la dimisión de los directores ejecutivos de las organizaciones afectadas.

Respecto del primer punto existen reportes de que hacía años que la OPM había recibido advertencias sobre las vulnerabilidades de sus sistemas anticuados, al igual que Sony, a la que una auditoría de cumplimiento sobre Sarbanes-Oaxley le había indicado debilidades sobre sus controles de acceso tales que impedirían la operación de una institución financiera, observación que recibió como respuesta la negativa del director ejecutivo a invertir “US$10 millones en un problema de seguridad que sólo traería pérdidas por US$1 millón”. En el caso de Ashley Madison, correos electrónicos hechos públicos por los atacantes indican que esa empresa también conocía de las vulnerabilidades en sus sistemas que la exponían a un ataque como el que sufrió, por lo que usuarios en tres jurisdicciones la demandan por incumplimiento de contrato y negligencia en el cuidado de su información personal.

Anticipar la magnitud de los costos, incluso financieros, de eventos como una vulneración de seguridad es muy difícil, y aun cuando pudiera hacerse, tales costos rara vez se limitan a los operativos por la interrupción de la continuidad operativa de la organización, remediación de la vulneración y recuperación de la información afectada, cuando sea posible, sino que generalmente se extienden a la afectación de la marca y de la imagen de sus funcionarios.

Hasta el momento, los tribunales de EU han sido reacios a establecer que una vulneración de seguridad sea causa suficiente para ejercer acción en contra de una empresa responsable por la indebida divulgación de datos personales bajo su custodia, lo mismo que en contra de los miembros de sus consejos de administración y/o funcionarios. Ello, a pesar de que el derecho corporativo de EU tiene bien cimentados los deberes fiduciarios de diligencia y lealtad que nuestra legislación bursátil contempla sólo para el caso de las sociedades anónimas bursátiles. No obstante lo anterior, estos casos podrían sentar nuevos precedentes en la materia.

Es preciso considerar que el marco normativo de aquel país sobre privacidad es distinto del que rige en México, donde, conforme al Principio de Responsabilidad, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por los que hubiera remitido a un encargado. Por lo tanto, ante el público y sus clientes la responsabilidad corresponde a la empresa en sí, y de ahí la denominación de “Responsable” que le atribuye la Ley Federal de Protección de Datos en Posesión de los Particulares a quien tiene facultades para decidir sobre el tratamiento de tal información; al final de cuentas esos actos u omisiones son realizados u omitidos por sus funcionarios, quienes tienen obligaciones para con la empresa que los contrató y quien podría repetir en su contra si tuviera que afrontar el pago de indemnizaciones.

También es preciso atender al hecho que la citada Ley contempla un deber de seguridad, que sujeta a los Responsables a resguardar los datos personales a los que den tratamiento bajo medidas de seguridad físicas, administrativas y técnicas, que prevengan su daño, pérdida, alteración, destrucción, acceso o uso no autorizados bajo estándares al menos comparables a los de la seguridad de la propia información corporativa.

Si bien en la práctica corporativa mexicana apenas se comienzan a desarrollar los antedichos deberes fiduciarios reconocidos por el derecho corporativo estadounidense, el concepto de culpa o negligencia, es decir, los actos contrarios a la conservación de una cosa o la omisión de los necesarios para conservarla, es claro en la legislación civil. Así, la suma de ambos factores podría llevar fácilmente a un punto en que pudiera acusarse negligencia ante la omisión en actualizar una red o los sistemas de tratamiento de datos de la empresa, aún más si, como en el caso de Sony, se encontrasen elementos de prueba respecto de un riesgo pretendidamente calculado como un simple tema de costos.

Un aspecto que debería ser considerado como un factor adicional es que acontecimientos como éstos pueden dañar la reputación de la organización y de sus directivos severamente o incluso de manera irreparable, no sólo por la pérdida de confianza del público afectado por la divulgación de su información personal, sino también porque en este tipo de asuntos es frecuente que como efecto colateral se lleguen a ventilar “trapos sucios”. En el caso de Sony, Amy Pascal terminó por renunciar tras revelarse correos en los que hacía comentarios sobre la supuesta preferencia del presidente de EU por filmes de herencia afroamericana. En el caso de Ashley Madison, los registros hechos públicos apuntan a que su director de Tecnología ubicó y explotó vulnerabilidades en sitios competidores, que, contrario a sus afirmaciones, el fundador de la empresa, en efecto, había sostenido relaciones extramaritales, y que en realidad sólo el 15% de los perfiles de usuarias del sitio, muchos de los cuales estaban inactivos, eran efectivamente mujeres.

El debido cumplimiento de la Ley Federal de Protección de Datos Personales, entendido como un proceso y no un proyecto, abona precisamente a prevenir que se presenten este tipo de casos, pues requiere de labores como la realización de inventarios de datos personales tratados y de los sistemas para su tratamiento, registro de medios de almacenamiento, análisis de riesgos a los que están expuestos los datos personales y de brecha para los activos del sistema de gestión de seguridad de datos personales, así como la evaluación de perfiles de usuarios de esos activos del sistema y las funciones y privilegios que deben corresponderles.


Rodrigo Orenday Serratos es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.

 

Contacto:

Twitter: @OrendayAbogados

Blog: Orenday Serratos Abogados

 

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

Empodera los recursos de TI y potencia tu negocio
Por

No se trata de que inviertas en computadoras o servidores más poderosos, sino de encontrar la forma más eficiente de uti...