Los expertos reclaman una ley global de privacidad en la redPor defecto o diseño
Google y HP tildan la directiva europea sobre protección de datos de "obsoleta".
Nada resulta fácil cuando se habla de privacidad y protección de datos en internet. Ayer, la UE anunció que ha introducido nuevas normas sobre privacidad en la red y que, a partir de este momento, los sitios web tendrán que solicitar el permiso explícito del usuario antes de incorporar el software conocido como cookies en los ordenadores de quienes los visitan. Y solo dos países, Dinamarca y Estonia, han notificado por ahora que implementarán las medidas necesarias.
Mientras, 28 expertos debatían en Madrid sobre estas cuestiones. Y desde el minuto uno, Bruce Schneier, máximo responsable de seguridad de BT y un gurú en la materia según The Economist, dejó claro la dificultad que entraña regular esta cuestión. Este experto lanzó un mensaje inquietante: "Los usuarios de Facebook no somos sus clientes; somos su producto, que vende a sus clientes. Facebook gana dinero a partir de lo que la gente cuenta en su red. Y cuantos más usuarios tenga y cuantas más cosas expongan de su vida mejor, porque eso significa más ingresos para ellos. Y todas las redes sociales funcionan igual", señaló.
Schneier apuntó que en Facebook hay seis tipos de datos distintos, aludiendo a la información que el usuario mete para abrir su cuenta, a aquellos datos que va subiendo a su perfil, lo que luego va publicando, los comentarios que suben otros sobre él y los datos sobre los hábitos de las personas. "Todos tienen distintas reglas y no es fácil construir una legislación congruente con todo esto".
Aclaró que Facebook, como el resto de redes sociales, adapta sus políticas de privacidad, pero la mayor parte de la gente suele entrar con la configuración por defecto, que no suele ser la más estricta. Schneier habló también de otra cuestión clave: el gap generacional. "Los jóvenes interpretan como algo natural compartir sus vivencias personales, aunque eso no quiere decir que no les preocupe su privacidad. De hecho usan alias, varias cuentas y ponen datos falsos no para engañar a nadie sino para proteger su privacidad". De cualquier forma, dijo, no hay que olvidar que el contexto importa en la privacidad, porque no es lo mismo lo que se cuenta en tu entorno familiar, laboral o de amigos.
Flujo transfronterizo de datos
En esta jornada sobre Amenazas, Riesgos y Privacidad, organizada por ISMS Forum Spain, Giovanni Buttarelli, supervisor de la European Data Protection (EDPS), reconoció que nunca había visto un periodo con tantos retos como el actual, refiriéndose al creciente flujo transfronterizo de datos. Buttarelli reconoció que el marco actual europeo se centra en principios que no son actuales y explicó que se está revisando. "Esperamos tener pronto un instrumento que tenga impacto sobre los 27, pero creo que tenemos ahora una oportunidad para establecer un diálogo con todas las partes y tener un enfoque mundial".
Daniel Pradelles, responsable de privacidad de HP en Europa, Oriente Medio y África, coincidió que hace falta una armonización mundial. "HP, Google, Facebook... son empresas globales y hay que plantear el tema globalmente. Es una pesadilla para las multinaciones ver las diferentes interpretaciones de un mismo tema en los diferentes países".
Peter Fleischer, responsable de privacidad de datos de Google, indicó que a él también le gustaría que hubiera una normativa global, "porque sería la mejor manera de proteger la privacidad, pero es muy complicado porque hay países mucho más estrictos en sus normas que otros". Fleischer insistió junto a Pradelles en que la directiva europea es obsoleta: "Enfatiza mucho sobre dónde están los datos, sobre su localización, y eso tenía sentido en 1995, pero hoy carece de valor, porque en la era de internet sabes dónde está el sujeto y el controlador de los datos, pero no dónde están dichos datos".
Schneier: "Los usuarios de Facebook no somos sus clientes; somos su productos. Facebook gana dinero a partir de los que contamos"
Daniel Pradelles, de HP, insistió en la necesidad de investigar tecnologías que deberán garantizar la gestión de la privacidad. "Necesitamos normas tecnológicas para que la información viaje respetando las normas del sujeto de los datos del dueño de esos datos".
También Giovanni Buttarelli, reclamó que cualquier software que se desarrolle tenga que ser diseñado desde el principio teniendo en cuenta estos temas de privacidad y amenazas. "Es lo que llamamos privacidad por defecto", señaló. Buttarelli aseguró que esto supone un "incentivo de mercado", porque "hay oportunidades para las consultoras, incluso para crear nuevos perfiles de profesionales y para minimizar costes". Buttarelli insistió en que este es el reto del sector de las tecnologías de la información.
De todos modos, Pradelles matizó que la privacidad va mucho más allá que la seguridad y añadió que la "privacidad por defecto o por diseño será importante y no solo se refiere al software, sino también a servicios y procesos dentro de las empresas". Aún así, advirtió que es algo complejo.
Ronald Koorn, responsable de privacidad de KPMG, también precisó que sería interesante implementar distintos controles en los servidores de las empresas, desde donde actualmente se están dando servicios en la nube.
Escuchar en internet
Álvaro æpermil;cija, socio director de æpermil;cija, afirmó que internet es un canal de retorno. "La tecnología transforma la forma de actuar y, por ello, las empresas están obligadas a saber escuchar lo que se dice de nosotras. Debemos escuchar a clientes, proveedores y accionistas, solo así seremos capaces de gestionar nuestra reputación corporativa". Respecto a la piratería, dijo que se pueden resolver casi el 80% de los casos que afectan a una empresa titular de derechos, si se cuenta con una metodología de gestión de su propiedad intelectual en internet".
Aplicar la inteligencia es clave en seguridad
La información es clave y como tal debe estar sujeta a las políticas de seguridad de las corporaciones. Así lo defendieron varios directores de seguridad de empresas españolas. "Debemos, además, implantar un modelo de seguridad global, porque las amenazas son globales", advirtió Enrique Polanco, director de Seguridad Corporativa del Grupo PRISA, editor de CincoDías. Manuel Carpio, su homólogo en Telefónica, preciso que la seguridad "debe ser una responsabilidad compartida por todos los miembros de la organización".Guillermo Llorente, director de Seguridad de Mapfre, reconoció que no existen recetas mágicas en seguridad; "existe el sentido común, y hay que evitar establecer una dirección absolutamente centralizada y definir los niveles de riesgo asumible".Polanco subrayó que hay que tener en cuenta las peculiaridades de cada país. "Por ejemplo, hay una enorme diferencia de mentalidad en seguridad y riesgos entre Europa y Latinoamérica. Incluso viene bien recurrir a guías locales que te ayuden a fijar tus políticas".Carpio advirtió que las dos amenazas que más le preocupan son la gestión de crisis ante hechos graves (como una caída de los sistemas) y las amenazas internas. "Estas son más peligrosas que las externas, porque las medidas internas suelen estar más relajadas". Los expertos advirtieron que el perímetro de las empresas se está ampliando porque tienen que estar en Twitter, Facebook... y dar entrada a clientes a sus sistemas. "La solución pasa por aplicar la inteligencia a la seguridad para conocer los riesgos, el enemigo", añadió Polanco.