Privacidad de los datos: resumen del año y perspectivas a futuro

2015 fue otro año destacado en materia de privacidad de los datos y 2016 no parece ser diferente. El año pasado, en un artículo sobre la privacidad de los datos internacionales, predije que 2015 sería el año de la privacidad. Aunque esa predicción ha sido parcialmente reivindicada, la aplanadora sigue avanzando en 2016 y no hay indicios de que vaya a aminorar su marcha.

La noticia más importante del año fue el triunfo del austríaco Max Schrem en el Tribunal de Justicia de la Unión Europea. La anulación del acuerdo de Safe Harbor entre Estados Unidos y la Unión Europea sobre la base de que el acceso a datos personales por parte de los organismos de orden público de EE. UU. a través de compañías de ese país no ofrecía las garantías adecuadas, ha causado conmoción en el mundo corporativo. Las consecuencias de esta decisión aún se sienten. Muchas compañías multinacionales actuaron con rapidez y dejaron de lado el acuerdo entre EE. UU. y la UE para comenzar a utilizar las cláusulas contractuales tipo que controlan los flujos de datos fuera del Espacio Económico Europeo (EEE). El Departamento de Comercio estadounidense ha estado trabajando con funcionarios europeos en la creación de un puerto seguro 2.0. Lamentablemente, en ambos procesos sigue vigente el argumento subyacente del caso Schrem: los organismos estadounidenses de inteligencia y orden público tienen acceso a datos europeos sin las garantías jurídicas adecuadas. En otras palabras, si no se modifica la legislación de Estados Unidos, el uso de las cláusulas contractuales tipo o cualquier nuevo acuerdo de puerto seguro también podría ser cuestionado e invalidado.

El alivio podría llegar bajo la forma del reglamento general de protección de datos (GDPR), que se promulgaría en 2016 y entraría en plena vigencia dos años después, en 2018. A diferencia de la situación actual, en la que los métodos de transferencia a países fuera del EEE se autorizan a través de declaraciones del Grupo de trabajo del Artículo 29, el GDPR especificará por ley los métodos (como las reglas corporativas vinculantes) que constituyen mecanismos de transferencia jurídicamente suficientes. Esto es importante porque el dictamen del tribunal en el caso Schrem estableció que las autoridades de protección de datos debían investigar las denuncias de que la información transmitida a EE. UU. no estaba protegida, independientemente de que las partes utilizaran el acuerdo de puerto seguro. Los mecanismos de codificación de transferencia legalmente permitiría afirmar prima facie que la transferencia es jurídicamente suficiente para proteger los datos.

El año 2015 también nos mostró que las grandes multinacionales no eran las únicas que sufrían enormes violaciones de la privacidad de los datos. La fuga de datos de Ashley Madison, que reveló información personal de más de 30 millones de clientes (junto con datos de propiedad exclusiva acerca de las operaciones de la compañía), fue el síntoma de un problema más vasto. Muchas compañías pequeñas carecen de los recursos necesarios para abordar los problemas de privacidad y seguridad. Cuando amplían su producción (centrada en la prestación de servicios), la empresa y la tecnología no siempre se desarrollan lo suficiente como para ocuparse de esas amenazas a la seguridad y la privacidad. En tal caso, terminarán teniendo problemas, ya sea por la acción de piratas informáticos (como en el caso de Ashley Madison) o de organismos de reglamentación (vea el caso de la FTC contra SnapChat). No hay una solución fácil, pero las empresas nuevas deben comenzar a tener en cuenta la privacidad y la seguridad cuando diseñan sus productos, o estarán condenadas al fracaso. Tanto los organismos de reglamentación estadounidenses como los europeos piden “privacidad desde el diseño”.

Es necesario prestar atención a dos grandes áreas que tendrán un impacto importante sobre la privacidad en 2016. La primera es el debate global sobre el cifrado,  o “guerras criptográficas II”. Básicamente es el retorno al debate planteado en la guerra criptográfica original, que marcó el interés industrial e individual por contar con un cifrado fuerte y seguro, y el interés del gobierno por tener la posibilidad de interceptar todas las comunicaciones con la autorización jurídica correspondiente. El gobierno estadounidense perdió el debate en los años 90, esencialmente porque la caja de Pandora ya estaba abierta, es decir, la tecnología ya estaba en manos de las compañías y los individuos. Pero como sucede con cualquier debate, quienes desean cerrar nuevamente la caja (o volver a encerrar al genio en la botella, si prefiere otra analogía) están planteando nuevos desafíos. Con cada ataque, se renuevan las voces que piden que las autoridades tengan acceso a la información cifrada, a pesar de las pruebas concretas de que este es un obstáculo significativo. Los funcionarios de los organismos de orden público aducen que su capacidad de llevar a cabo una vigilancia legítima se “oscurece”, porque ya no pueden escudriñar las comunicaciones y las conversaciones de los criminales.

En cualquier caso, estamos viviendo una “edad dorada de la vigilancia”. Pregúntele a cualquier agente del orden público si prefiere las herramientas de hoy o las que tenía hace 50 años y, sin dudas, dará un guiño a la tecnología actual. Lo que se pierde de vista en los argumentos de los absolutistas es el equilibro de las ventajas y desventajas. La sociedad debe decidir si la protección individual contra la delincuencia tiene más peso que el procesamiento de los criminales; debe sopesar los riesgos de utilizar un cifrado más débil para permitir una aplicación más fácil de la ley, frente a los beneficios de una sociedad más fuerte y segura que utiliza una criptografía fuerte. Nótese que dije más fácil, no perfecta. Los organismos de orden público aún disponen de otros métodos. Las comunicaciones rara vez son el delito. Generalmente son una simple herramienta, similar a un automóvil que se utiliza para escapar.

Los europeos no están mucho más cerca de lograr un consenso que los Estados Unidos (el Reino Unido se inclina hacia un lado y Francia hacia otro). Sin embargo, comprenden que dispersar datos al otro lado del océano aumenta las oportunidades de que se invada la privacidad. Esto nos lleva a la segunda área a la que habrá que prestar atención en 2016. A medida que las compañías se preparan para adoptar el reglamento general de protección de datos, se van dando cuenta de que tal vez la mejor solución consista en “europeizar” sus servicios. Esto no solo significa almacenar y procesar los datos de los miembros de la UE en el Espacio Económico Europeo, sino también contar con personal de soporte operativo y administración en Europa. Microsoft dio el primer paso en este ámbito, pero seguramente otros lo seguirán, especialmente quienes tienen una gran clientela europea. Otras soluciones, como las claves de cifrado en poder de los clientes pueden ayudar a los clientes a mantener el control sobre sus datos.

Independientemente de lo que nos depare el futuro, parece que 2016 será otro alocado viaje en montaña rusa para la privacidad y la protección de los datos. ¡Asegúrese de mantener los brazos y las piernas dentro del carro en todo momento!