Pablo García Mexía

Jurista digital

Volver
 
 

27 JunAlgoritmo y Ciber-riesgo. Respuestas regulatorias

Los acontecimientos vividos a raíz del ciberataque perpetrado por el malware WannaCry el pasado 12 de mayo de 2017 han abierto, quizá abruptamente, los ojos del gran público acerca de una amenaza hasta entonces solo analizada y combatida en sectores especializados: la amenaza del ciber-riesgo.

 

Y, ¿qué es el ciber-riesgo? Siguiendo un razonamiento “a la inversa”, podríamos afirmar con la Estrategia sobre Ciberseguridad de la UE de 2013 que es aquella conducta que, empleando redes y sistemas electrónicos, es decir, empleando el algoritmo como instrumento, pone en peligro la libertad, el bienestar y la paz.

 

Más específicamente, la OCDE, en su Science, Technology and Innovation Outlook publicado en el otoño de 2016, detallaba que la conducta que genera ciber-riesgo lo hace por comprometer la equidad, la integridad, la privacidad y la ciberseguridad.

 

En particular estos dos últimos bienes, privacidad y ciberseguridad, se hallan entre sí en una relación de íntima dependencia: son en cierto modo dos caras de una misma moneda. No cabe en nuestros días privacidad sin ciberseguridad; y de nada nos sirve la ciberseguridad si con ella no podemos mantener nuestra privacidad, en tiempos tan crecientemente necesitados de un “silencio de los chips”.

No cabe en nuestros días privacidad sin ciberseguridad; y de nada nos sirve la ciberseguridad si con ella no podemos mantener nuestra privacidad

Caben ante el ciber-riesgo, como es natural, respuestas tecnológicas y también de negocio. En estas líneas nos centraremos en la posibilidad de prevenirlo y combatirlo desde el ángulo político-legal, es decir, desde la regulación por el poder público. Una regulación que aquí sobre todo interesa en cuanto pretende garantizar ese par de bienes interdependientes que son privacidad y ciberseguridad.

 

Por supuesto más allá de la normativa penal, y siguiendo al gran experto norteamericano en privacidad Alan C. Raul, pueden trazarse tres grandes modelos mundiales de regulación del ciber-riesgo:

 

A) Uno, el de leyes horizontales y tendencialmente omnicomprensivas sobre privacidad y ciberseguridad. Es el de la Unión Europea, como ante todo prueban las dos recientes y decisivas normas que desde mayo de 2018 se aplicarán aquí en esta materia: el Reglamento General de Protección de Datos de 2016 (RGPD) y la Directiva sobre Seguridad de Redes y Sistemas de Información, aprobada en julio de 2016 (Directiva NIS).

B) El segundo gran modelo es el de los EE.UU., caracterizado por basar la protección de la privacidad y la ciberseguridad en legislación sectorial, así como en la responsabilidad civil ventilable ante los tribunales.

C) El tercer modelo sería el de países como China o India, con leyes horizontales y fuerte peso ante los tribunales de la responsabilidad civil.

 

Centrándonos en Europa (y junto a aspectos relativos a su ámbito de aplicación, la anonimización de la información, el principio de ventanilla única o las transferencias internacionales de datos), las principales novedades del RGPD en materia de privacidad se pueden sintetizar en tres grandes ideas:

 

a) Una, de la mano de la transparencia, el refuerzo del empoderamiento del titular de los datos, mediante nuevos derechos que intentan reforzar su control efectivo sobre su información personal.

b) Otra, el fortalecimiento de ese vínculo ya destacado entre las dos “caras de moneda” que son privacidad y ciberseguridad, entre otras medidas, con la incorporación al RGPD de la obligación de comunicar (a las autoridades) y llegado el caso notificar (a los usuarios) los fallos de seguridad (data breaches) que comprometan la privacidad.

c) Finalmente, el llamado principio de responsabilidad proactiva (accountability), fundado en la necesidad de asumir obligaciones ex ante que, de ser incumplidas, obligarán a importantes reparaciones, bien en forma de (elevadísimas) sanciones frente a la Administración, bien de indemnizaciones a particulares.

 

En materia de ciberseguridad, la Directiva NIS, sin perjuicio de la vigencia de otras normas europeas y nacionales en la materia, crea dos categorías esenciales de destinatarios, a quienes sujeta al cumplimiento de importantes obligaciones. Se trata de los llamados “operadores de servicios esenciales, OSEs” (hospitales, energía, agua potable, transportes, banca y finanzas, e infraestructura digital) y de los “proveedores de servicios digitales, PSDs” (plataformas de e-commerce, motores de búsqueda y proveedores de servicios de computación en nube). Con determinados matices, en función de que se trate de OSEs o de PSDs, unos y otros han de adoptar medidas técnicas y organizativas apropiadas relativas a ciberseguridad, así como, de nuevo, comunicar a las autoridades competentes los fallos de seguridad.

 

¿Qué recomendar a cualquier organización para prevenir y combatir el ciber-riesgo? Ante todo, y como premisa fundamental, algo que vengo preconizando desde hace muchos años: promover una cultura multidisciplinar. El ciber-riesgo no es en absoluto un problema de “los ciber”, “los de sistemas”, “los de TI”. En nuestra sociedad del algoritmo, donde las fronteras entre lo analógico y lo digital se difuminan tanto que casi ya no existen, o al menos no pueden trazarse con claridad, toda seguridad es ciberseguridad. En consecuencia, el ciber-riesgo es ya sencillamente cosa de todos, de todo el personal, ya sea directivo, ya no lo sea; ya sea de áreas TI, ya de cualquier otra en la organización. Es claro que WannaCry nos ha servido de lección en este sentido.

 

Y, sobre esta base, medidas como implementar a la mayor brevedad un plan de ciberseguridad van ya simplemente de suyo.

 

En nuestra sociedad del algoritmo, donde las fronteras entre lo analógico y lo digital se difuminan, toda seguridad es ciberseguridad

 

Como, al amparo del nuevo RGPD, y en aras a esa proactividad ya exigida legalmente, mantener la documentación que contenga datos personales de los que seamos responsables en “perfecto estado de revista”. No en vano, desaparecen a partir de 2018 obligaciones formales tipo tick the box, pero aumenta a resultas el riesgo de que “quien la haga, la pague” (y caro).

 

Por último, el prestigioso Pew Research Center nos recuerda que, a fin de lograr ese empoderamiento del usuario que guía al RGPD, puede ser útil facilitarle una suerte de “información algorítmica” que, del mismo modo que la tabla nutricional de los alimentos envasados, le ponga al tanto de cómo se gestiona la inteligencia en dicho tratamiento y de las consecuencias que de ello se derivan. Así lo ha venido de hecho a exigir el propio RGPD respecto de las técnicas de trazado de perfiles.

 

El mayor peso que el RGPD otorga a la responsabilidad proactiva busca asimilar el modelo europeo al norteamericano, al tiempo que alejarlo de esquemas burocrático-formalistas del tipo español o francés. Puede que este factor contribuya a relajar las tensiones sobre regulación de la privacidad que en los últimos años han venido enfrentando a Europa con los EE.UU., siendo a la vez este enfrentamiento muy determinante para el conjunto de relaciones económicas entre estos dos gigantescos bloques, que como se sabe concentran la mitad del producto bruto global.

 

Europa viene estos años erigiéndose en una suerte de “bastión mundial” de la privacidad, que hace que todos nosotros, sus ciudadanos, muy probablemente disfrutemos de los mayores estándares de protección de datos aplicables en todo el mundo. Bien está, naturalmente. Y no voy a llegar a tachar estos estándares europeos de regulación del ciber-riesgo de “prácticas proteccionistas encubiertas”, como en ocasiones se ha hecho por parte de autoridades o de relevantes medios de los EE.UU. Aun cuando de modo paralelo, debemos plantearnos de este lado del Atlántico que ello puede llegar a plantear correlativos retos, no solo para las de fuera, sino también para nuestras propias empresas, merced a la necesidad de ajustarse a estos exigentes patrones de regulación.

 

Unos patrones que, por cierto, quizá resulten mucho más difíciles de cumplir para empresas de tamaño pequeño o medio que para los gigantes del llamado “sector digital” y de todos los demás sectores. Dándose además la circunstancia de que, en particular en lo que al entorno digital se refiere, y más allá del subsector de las telecomunicaciones, Europa carece de empresas ni siquiera de lejos comparables en volumen a las norteamericanas Google, Apple, Facebook o Amazon, además de Microsoft.

 

Y, eso sí, con todo ello en cuenta… que fluyan los datos, la fuente más prometedora de prosperidad en nuestra era digital. Pues, aunque suele recordarse menos que las obligaciones antedichas, es la libre circulación de datos otra de las claves de la regulación que acabamos de comentar.

No hay comentarios

Publica un comentario

 

TWITTER

¿Cómo incorporar a España en la #economíadelconocimiento? El decálogo por la #innovación de Cotec muestra las clave… twitter.com/i/web/status/8…

Ayer del Twitter de Fundación Cotec

¿HABLAMOS?

Contacto:

Calle Velazquez, 24. 2º DCHA.
28001 - Madrid. España
(+34) 914 36 47 74
fundacion.cotec@cotec.es