Los ciudadanos, impotentes ante una brecha de seguridad

Las filtraciones de datos en compañías como Glovo y The Phone House manchan la reputación del sector privado, pero también provocan un perjuicio directo sobre los consumidores. ¿Cuáles son las opciones de la ciudadanía para resarcirse tras una brecha de seguridad?

Pese a que la normativa sobre protección de datos abre la puerta a la reclamación por la vía civil, hasta ahora ningún tribunal ha resuelto un pleito en esta materia. Ninguna demanda ha llegado a juicio ni se espera que ocurra a corto plazo. El motivo: los obstáculos con que se topan los afectados para atestiguar la lesión de sus derechos.

Demuéstralo si puedes

Lo explica Francisco Pérez Bes, socio en el área de derecho digital de Ecix Group: "La simple filtración de datos por sí mismo no constituye un daño. El afectado debe demostrar que esa filtración le ha generado un perjuicio económico o sobre la intimidad. El sistema, en sí mismo, no es proteccionista en exceso". En el conjunto de Europa tampoco se estilan las demandas colectivas por este tipo de contenciosos, apunta este experto, una alternativa que podría fortalecer las alegaciones de los damnificados.

Otras voces coinciden en este diagnóstico: "¿Te han echado del trabajo tras una incidencia informática? ¿Te han incluido en la lista de morosos? Debe demostrarse una vinculación directa entre la brecha y un efecto personal", expone Fernando López de Coca, letrado experto en protección de datos de Audidat. La obligación de conectar de forma causal ese menoscabo con una brecha concreta, pese a que haya sido muy aparatosa, se conjuga con un tedioso proceso civil que puede desalentar a las víctimas de una filtración. 

Multas millonarias

Esto no significa que en España no se persigan las malas praxis. La Agencia Española de Protección de Datos (AEPD) tiene capacidad sancionadora en base a la ley orgánica de protección de datos aprobada en 2018. Y la ejecuta: "Ya hay varias resoluciones sancionadoras de la AEPD contra empresas, tanto por no haber implementado medidas de seguridad suficientes, como por haber notificado brechas más tarde de las 72 horas de límite establecidas por la normativa", informa Carlos Pérez, socio del despacho Écija.

Sin embargo, estas multas no repercuten sobre el bolsillo de los perjudicados. El dinero con que las privadas respondan a las sanciones se ingresa en las arcas públicas. Aunque sí pueden calificarse como ejemplares: ascienden hasta los 20 millones de euros y se mueven entre el 2% y el 4% del volumen de negocio anual global.

El GDPR, Reglamento General de Protección de Datos, una nueva era para la privacidad en la UE / EFE

Flecos pendientes

Si la brecha es privada, la autoridad de control con potestad para conocer del caso es la AEPD, mientras que si se trata de una Administración pública catalana, el ente encargado es la Autoridad Catalana de Protección de Datos. "Tras la llegada del reglamento europeo [la normativa sobre esta materia es común en todo el continente] la Agencia dio un tiempo de adaptación. Hasta ahora el organismo está actuando bien y con contundencia", señala López de Coca.

Pero quedan flecos pendientes. Por un lado, las brechas no deben comunicarse de forma obligatoria a los usuarios, sino solo si incluyen datos especialmente sensibles. Lo cual puede ser visto como un óbice para la transparencia entre los operadores implicados.

Actitud proactiva

Por otro lado, la actual regulación tampoco contempla un listado de objetivos que toda institución deba contemplar sí o sí para asegurar la inviolabilidad de sus sistemas. "No hay una norma que defina las medidas específicas que deben implementarse. Para saber si estas medidas son o no suficientes, normalmente se recurre a estándares internacionales en materia de seguridad de la información como ISO 27001, ENISA o NITSA", detalla Pérez.

La falta de un checklist exhaustivo no quita hierro al asunto. Al revés: la AEPD tiene mayor libertad para evaluar la negligencia de las organizaciones más allá de un conjunto de obligaciones concretas, como la existencia de cortafuegos, revisión periódicas de contraseñas o auditorías informáticas. Pero no quita que, de entrada, algunos actores puedan no ser suficientemente rigurosos. Por eso los expertos consultados recomiendan a los ciudadanos no bajar la guardia y parafrasean el dicho: la mejor (ciber)seguridad empieza por uno mismo.