Empresas e instituciones reclaman una legislación global de privacidad

La ausencia de una normativa internacional uniforme en la gestión de los datos y de la privacidad se convirtió en una de las cuestiones clave de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, que hoy se clausura en Madrid. Un encuentro que ha reunido a responsables jurídicos de grandes empresas de internet como Google, Ebay, Facebook o Microsoft, y en el que se ha tratado temas polémicos como la protección de la infancia en la red o el derecho de los usuarios a controlar toda su información.

Ante estas cuestiones, Vinton Cerf, vicepresidente de Google y considerado uno de los padres de internet, dijo que es necesario que haya un acuerdo para configurar una visión global sobre privacidad. En una videoconferencia desde Washington, advirtió que hay diferentes jurisdicciones en este ámbito y pidió un mayor diálogo entre todas las partes.

Eduardo Ustarán, socio de la firma Field Fisher Waterhouse, fue muy directo al asegurar que hay una gran complejidad en la visión de las cuestiones de privacidad y gestión de la información. El experto explicó que hay tres criterios diferentes en cuanto al tratamiento que se les da: en función del lugar donde está la empresa que tiene los datos, del sitio donde vive el usuario o del lugar donde se procesa la información. "Deberíamos resolver este problema", dijo.

El responsable de Privacidad de Ebay, Scott Shipman, incidió en la complejidad y puso el ejemplo de que su empresa tiene la sede en EE UU y operaciones en muchos países donde la legislación es distinta. El directivo recordó el caso en el que su compañía se vio obligada por las autoridades canadienses a dar los datos de todas las personas que habían hecho alguna compra en el país. Tras varias resoluciones judiciales, dijo, la empresa cumplió con el requerimiento, eso sí, "tras notificar a todos los usuarios que se iban a dar sus datos al fisco de Canadá".

Peter Fleischer, director de Privacidad de Google, advirtió de los riesgos de censura que se pueden dar si se generalizan las obligaciones de que se quiten, por ejemplo, de Youtube, vídeos que no cumplen determinadas legislaciones nacionales. John Vasallo, director asociado de la Asesoría Jurídica de Microsoft, reclamó un trabajo conjunto y un debate constante.

Pero también se plantearon soluciones. Marta Pertegás, secretaria de la Oficina Permanente de la Conferencia de la Haya, puso varios ejemplos de técnicas empleadas en reducir conflictos legales. Una de las fórmulas es formar una red administrativa que facilite la comunicación entre autoridades de distintos países. "Sería factible una red de reguladores para la protección de datos", dijo Pertegás, que citó que este modelo se ha usado en cuestiones de adopciones o divorcios. Otro modelo propuesto es el desarrollo de una red judicial, como se ha hecho en cuestiones como la protección de menores.

El papel del usuarios también fue debatido. Nicole Wong, subdirectora de la asesoría jurídica de Google, tiene claro que "el cliente debe controlar sus datos además de tener la opción de recuperarlos de manera fácil".

Las posiciones de las empresas fueron criticadas por Marc Rotenberg, director ejecutivo del Electronic Privacy Information Center, quien tras pedir humildad a las empresas, advirtió de los riesgos que tiene el cliente de que su información sea controlada. Ives Poullet, responsable del Centro de Investigación Informática de la Universidad belga de Notre-Dame de la Paix Namur, advirtió sobre la opacidad del funcionamiento de ordenadores, móviles o infraestructuras informáticas y del riesgo de descontextualización de los datos.

Artemi Rallo, director de la Agencia Española de Protección de Datos (AEPD), criticó que los sistemas de verificación de la edad de los menores no son seguidos por la mayor parte de las redes sociales, "que siguen manteniendo los perfiles de menores de 14 años". Microsoft, Myspace y otras plataformas defendieron que toman medidas de protección, aunque reconocieron los problemas que se presentan a la hora de verificar la edad de los usuarios. En este sentido, Tuenti ha instalado filtros y medidas de protección que incluyen la verificación de los datos con la obligatoriedad de enviar copia del DNI del usuario a la compañía, según informa Efe. También Myspace ha instalado un sofisticado sistema de control de contenidos y un servicio de asesoría para padres que les permite contactar con la compañía "si están preocupados".

Otro de los temas que más debate generó es qué se debe hacer cuando una institución pública o privada pierde información de los ciudadanos, por error humano o por robo. ¿Se debe informar a las personas afectadas?, ¿cuándo?, ¿cómo? Karen Curtis, comisaria de Privacidad de Australia, resaltó la importancia de proteger la información porque "la pérdida de un portátil puede tener consecuencias terribles. Los clientes de una empresa pueden sentirse ultrajados, porque ellos confían que sus datos son manipulados de una forma segura". Según Curtis, en su país el 65% de las compañías experimenta alguna quiebra de seguridad y el 45% de las veces es debido a errores humanos. El problema, recordó, "es que no tenemos reglas de notificación de estas vulneraciones".

Políticas de seguridad

Pamela Jones Harbour, comisaria de la Comisión Federal de Comercio (FTC) de EE UU, destacó que "una robusta política de seguridad debe ser entendida como sinónimo de buen negocio y que las empresas podrían aprovecharlo como ventaja competitiva". Pero, tal y como expuso, la seguridad de la información no se ha tomado con tanta seriedad como se debiera. De hecho, en los últimos años la FTC ha llevado a cabo más de 25 intervenciones contra empresas que han actuado de forma negligente y no han sido capaces de proteger los datos de los consumidores.

Esta comisaria aseguró que la solución pasa por educar a las empresas, establecer leyes apropiadas y aplicarlas con dureza cuando las compañías no cumplan. La cuestión, continuó, es que no hay una convergencia normativa "que es crucial", ni siquiera en EE UU donde no hay una ley federal que ataje el problema, sino normativas propias de cada Estado.

David Smith, vicecomisario de la Oficina de Información de Reino Unido, aseguró que la vulneración de datos no es nada nuevo. "Antes se tiraban muchos ficheros a la basura. Lo que ha cambiado con la digitalización de la información es la escala de la vulneración". Smith explicó que en su país han puesto en marcha un sistema de notificación, "pero de momento es algo voluntario". Pese a ello, desde 2007 se les ha comunicado 670 infracciones. "Para evitar estos fallos hace falta tecnología, procedimientos y personas. Es una cuestión de confianza, de reputación de las instituciones", señaló.