Ciberamenaza: una nueva responsabilidad colectiva
Acontecimientos como la expansión fulminante, global y masiva del malware WannaCry ponen de manifiesto los crecientes riesgos en el uso y el tratamiento de la información.
En nuestra era digital, el dato es riqueza y es oportunidad. En su Science and Technology Outlook de otoño de 2016, la OCDE resalta cuatro tecnologías digitales como particularmente influyentes en los próximos años: se trata de la Inteligencia artificial, el Big Data, la Internet de las cosas y el Blockchain. Es notorio que todas ellas tienen en el dato su elemento vertebrador.
El uso y tratamiento de la información genera no obstante importantes y crecientes riesgos. Acontecimientos como la expansión fulminante, global y masiva del malware WannaCry lo acaban de poner claramente de manifiesto. Es más, y por esas mismas razones, pocos cuestionarán que WannaCry supone la frontera entre un antes y un después en cuanto a la percepción general de la ciberamenaza y en cuanto a la necesidad de reaccionar frente a ella. Su salto a las portadas de todos los medios de comunicación nos ha "hecho el trabajo", de la noche a la mañana, a quienes, desde ámbitos especializados, llevábamos tiempo "evangelizando" sobre estos asuntos.
En ese mismo documento recuerda la OCDE que la ciberamenaza implica singularmente riesgos para la seguridad y la privacidad. Cómo no. Si entidades como IDC llevan algunos años identificando como un reto la "sobrecarga de información", nuestro actual "universo digital" permite vislumbrar, dando un paso más allá, toda una "sobrecarga de inteligencia". Invitan a ello: el procesamiento de información a cargo del clásico Big Brother estatal; el trazado de perfiles llevado a cabo por cada vez más empresas y con cada vez mayor perfección; la emergencia de todos y cada uno de nosotros como auténticos "Big others" (que dirían en Francia), gracias al gran poder de tratamiento de información que nuestro simple smartphone nos proporciona; y, por supuesto, por culpa de la creciente sofisticación del cibercrimen.
Es imprescindible que la regulación se acompase a estos grandes retos.
A semejanza de otros modelos, y sobre el patrón del Convenio sobre Ciberdelito del Consejo de Europa (2001), así lo han entendido los Estados europeos, mediante la creación de delitos adaptados a estas realidades. Ya en España, y por ceñirnos a la explotación de ransomware como es WannaCry, es obvio que encajaría en el artículo 264 del Código Penal (que tipifica los daños a datos y sistemas informáticos); más discutible, y pese a alguna jurisprudencia que lo sostiene, sería su posible combinación (de efectuarse el pago de algún "rescate") con el delito de estafa (art. 248 Código Penal).
La Unión Europea aprobaba en 2016 dos normas clave en esta misma línea: el Reglamento General de Protección de Datos (RGPD) y la Directiva NIS sobre ciberseguridad.
Las principales novedades del RGPD se pueden sintetizar en tres grandes ideas: a) El refuerzo del empoderamiento del titular de los datos, mediante nuevos derechos que intentan aumentar su control efectivo sobre su información personal. b) El fortalecimiento del vínculo privacidad-ciberseguridad, entre otras medidas, con la incorporación de la obligación de comunicar fallos de seguridad. c) Finalmente, el principio de responsabilidad proactiva (accountability), el cual, huyendo de formalismos burocráticos, exige asumir obligaciones ex ante (que, de ser incumplidas, obligarán a importantes reparaciones, sobre todo en forma de sanciones frente a la Administración).
La Directiva NIS sujeta a los que llama "operadores de servicios esenciales" (hospitales, energía, agua potable, transportes, banca y finanzas, e infraestructura digital) y a los que denomina "proveedores de servicios digitales" (plataformas de e-commerce, motores de búsqueda y proveedores de servicios de computación en nube), a estas dos obligaciones clave: adoptar medidas técnicas y organizativas apropiadas sobre ciberseguridad; y comunicar a las autoridades competentes los fallos de seguridad.
En nuestro mundo digital, toda seguridad es ya ciber-seguridad. WannaCry nos ha demostrado que todos, también los ciudadanos, debemos interiorizar la (ciber)seguridad. Esto no es ya solo cuestión de "los informáticos". Todos en la empresa o en los gobiernos (a través de planes al efecto), todos como netizens o usuarios de Internet, debemos "protocolizar" nuestras precauciones, del modo como ejemplarmente nos han indicado en estos días pasados INCIBE o CNI.
Y, en cuanto a la privacidad se refiere, recordemos con la Comisión Europea que en torno a un 90% de los consumidores consideran importante poder supervisar y controlar sus datos personales en línea. Es por eso capital que las organizaciones que tratan sus datos lo hagan con transparencia, de manera que el empoderamiento del usuario, hasta hoy apenas logrado, tienda a ser general.
Al fin y al cabo, las nuevas obligaciones previstas en estas normas no tienen por qué obstaculizar los múltiples beneficios del dato y de la información. Más bien al contrario, su misma existencia se orienta también a garantizar su libre circulación.
Pablo García Mexía, Ph.D., Asesor en el departamento de Derecho de Internet y TICs de Ashurst España
