Innovación Legal
08 septiembre 2015
La vida es corta. Protege tu privacidad
Por el título del artículo, quienes hayan leído las últimas noticias durante este mes de agosto sobre la filtración a internet de la base de datos con millones de cuentas de la red social Ashley Madison, destapando así una cantidad enorme de datos personales, llegarán a adivinar el porqué de la transformación del slogan de esta conocida red social de contactos extramatrimoniales (La vida es corta. Ten una aventura) para este post.
La intrusión y robo de la base de datos de esta red social y su posterior publicación en internet, toma una importancia diferente con respecto a otros casos similares convirtiéndose en un escándalo que dará mucho que hablar y reflexionar en los próximos meses. Paso a comentar lo que me parece más grave de este caso:
Primero, esta red social es la página de contactos más importante a nivel mundial para aquellos que quieren ser infieles a sus parejas. Hasta el momento del robo y filtración, presumía de ofrecer a sus usuarios el máximo nivel de privacidad y seguridad en la custodia de los datos, especialmente su CEO y fundador, Noel Biderman, el cual ha dimitido de su cargo hace pocos días debido al escándalo generado.
Segundo, que en la base de datos filtrada (que facilita la auto-comprobación de perfiles comprometidos aquí), no solo se han publicado correos electrónicos, sino también nombres, direcciones postales, transacciones bancarias con fecha y cantidad, geolocalizaciones, costumbres y, de forma detallada, las costumbres y tendencias sexuales, desde luego todo ello aportado por los propios clientes. Por tanto, hablamos de algunos datos especialmente protegidos, que deberían contar con un alto nivel de protección.
Tercero, la compañía fue amenazada previamente por el grupo de cibercriminales, los cuales reivindicaban lo injusto que era el tener que pagar 19 dólares para un supuesto borrado completo de su base de datos, algo que luego se ha demostrado que no ha sido así, al aparecer en la base de datos filtrada usuarios que habían pagado por la baja del servicio, siendo así engañados por la compañía. Además Ashley Madison no tomó en serio la amenaza, no atendió a las reivindicaciones y no hizo absolutamente nada para evitarlo. Algo inaceptable a sabiendas de que su compañía que se encontraba en el punto de mira de posibles ataques.
Cuarto, que una vez examinados los Términos y condiciones de uso y la Política de Privacidad, nos encontramos con numerosas cláusulas de dudosa legalidad, al menos conforme a la normativa española de protección de datos y directiva europea 95/46/CE y también observamos una descarga total de responsabilidad sobre los hechos sucedidos en muchos puntos de la misma. En resumen, si el usuario antes de darse de alta hubiera dedicado unos minutos a leer la política de privacidad, probablemente hubiera pensado dos veces el darse de alta en dicha página.
En sus condiciones legales la empresa indica que podrá establecer las condiciones y cláusulas que quiera. En aplicación del derecho español, cualquier tipo de cláusula que sea contraria a la ley se entenderá por no puesta y, por tanto, algo es contrario a la ley no solo cuando ésta lo prohíbe, sino también cuando la ley obliga a hacer algo y las condiciones generales de adhesión establecen que pacta todo lo contrario sin ningún tipo cobertura legal. Por tanto, numerosas cláusulas de sus condiciones legales no tendrían validez en nuestro país.
Quinto, que en los últimos días diferentes medios de comunicación (entre otros un estudio de Gizmodo) han publicado en sus noticias que un altísimo porcentaje de perfiles femeninos en la página son falsos y no son sino programas de ordenador que responden al usuario. Esta información proviene de documentos de trabajadores filtrados tras el ataque a dicha compañía aun cuando, en sus condiciones de uso lo reconocen expresamente en una de sus cláusulas con frases como:
“..Usted reconoce y acepta que algunos de los perfiles publicados en el sitio con los que usted puede comunicarse como Usuario Invitado pueden ser ficticios.”
“Los mensajes que envían son generados por ordenador. Los mensajes de los perfiles que creamos, intentan simular comunicaciones de manera que si Usted se vuelve Miembro de Pleno Derecho, se le motive a participar en más conversaciones y para aumentar la interacción entre usuarios”.
“Nuestros perfiles envían mensajes a los Usuarios Invitados, pero no a los Miembros de Pleno Derecho. Los Miembros de Pleno Derecho interactúan sólo con perfiles de personas reales. Los Usuarios Invitados son contactados por nuestros perfiles a través de mensajes generados por ordenador, incluyendo correos electrónicos y mensajes instantáneos. Estos perfiles NO están visiblemente identificados como tales”.
En mi opinión, este tipo prácticas se realizan en otras páginas de contactos de este tipo, son un engaño que provoca el proveedor del servicio para crear una imagen de falso éxito dentro de la red social e intentar persuadir al usuario para que pague y se convierta en usuario “Premium”, lo que me parece de cuestionable legalidad y moralidad.
Sexto, dado que en la base de datos filtrada a la red se han encontrado direcciones de correo electrónico corporativo, los medios de comunicación se han hecho eco de ello incidiendo negativamente en la reputación online y la imagen de marca de empresas e instituciones en todo el mundo. Por ejemplo aparecen en la base de datos correos corporativos del ejército y Gobierno de EEUU, de directivos de grandes empresas e incluso del Vaticano. En España no ha sido menos, se acaba de publicar la noticia de que más de 100 empleados públicos usaron Ashley Madison desde su puesto de trabajo.
Esto deja patente la falta de adopción de políticas de uso de medios tecnológicos en los centros de trabajo, del uso de correo corporativo para asuntos personales y la falta de concienciación de los empleados de los riesgos que conlleva el uso indebido de todo lo mencionado anteriormente.
Séptimo, en lo referente a las responsabilidades en este caso, si aplicamos la normativa española, habría que analizarlo desde dos puntos de vista diferentes:
En cuanto a la responsabilidad de los autores de la filtración, se tipificaría como un delito contra la intimidad y, en concreto, de descubrimiento y revelación de secretos previstos en los artículos 197.2 y 3 del nuevo Código Penal, con penas de 2 a 5 años.
Si hablamos de la responsabilidad de la empresa titular de la red social, debería asumir las obligaciones y requisitos impuestos por la normativa de protección de datos española, en concreto para este caso el art. 9 de la Ley 15/1999 de protección de datos de carácter personal.
Si la empresa responsable no ha cumplido con las medidas de seguridad requeridas, en este caso de nivel alto, es posible que tengan que enfrentarse a una importante sanción administrativa además de una posible compensación indemnizatoria a los usuarios españoles afectados.
Termino con una cita de Séneca: “Si quieres que tu secreto sea guardado, guárdalo tú mismo” y por tanto, la mayor protección de privacidad debe empezar por uno mismo, por adquirir buenas costumbres y no descargar toda responsabilidad de la custodia de tus secretos en terceros, porque por casos como el de Ashley Madison, a más de uno le está causando graves perjuicios personales y profesionales.
Jose Alejandro Rodríguez Gutiérrez
Socio – Abogado TIC
eJuris Abogados
Miembro de Enatic
@jalerogu
[1] Blog Gizmodo: http://es.gizmodo.com/practicamente-ninguna-de-las-mujeres-en-ashley-madison-1726912811
[2] Periódico El Español: http://www.elespanol.com/actualidad/mas-de-100-empleados-publicos-espanoles-usaron-ashley-madison-desde-su-puesto-de-trabajo/