Por Fausto Escobar, director general de HD México
Para las viejas generaciones, y muy en particular para quienes practican o son conocedores del llamado “rey de los deportes”, las jugadas más difíciles del béisbol son el robo del home plate y el triple play, aunque casi todos los expertos coinciden en que robarse una base y el bateo son dos de las destrezas mayormente apreciadas.
Enfrascarnos en esta discusión no tiene sentido; lo que en verdad importa es hacerle ver que, mientras hablamos de béisbol, es muy probable que alguien esté intentando “jugar” en su empresa, y no nos referimos al deporte como tal sino a la latente posibilidad de que en este momento le estén robando la base de datos en la que usted almacena información sensible ya sea personal o corporativa.
Según los expertos, el acceso concurrente por parte de múltiples usuarios es una de las características básicas de una base de datos, lo cual implica riesgos que nos obligan a tomar en cuenta aspectos como la protección de la integridad de la información o considerar alternativas para su respaldo y recuperación en caso de incidentes, causados estos últimos ya sea por errores humanos, desastres naturales o por ataques informáticos (delincuencia cibernética).
En teoría, es muy sencillo realizar acciones legales contra alguien que se roba o comparte su información personal sin su debido consentimiento; de hecho, el IFAI estipula que este delito podría alcanzar condenas de hasta tres años de prisión y multas que rondan los 100 y 320 días de salario mínimo, pero en la práctica aún existen muchos cabos sueltos e inconsistencias legales que frenan o están sirviendo de pretexto para no hacer valer sus derechos como legítimo poseedor de sus datos.
Innumerables casos y experiencias de empresas, instituciones y personas físicas pueden ser referidos para respaldar esta última afirmación, pero lo más grave del asunto es que los pequeños y medianos empresarios, esos “Pepe y Toño” de los que tanto se habla en los promocionales de televisión, siempre terminan siendo los más afectados, sin contar que para hacer una denuncia por el delito de robo de datos no saben a quién acudir, aparte de que deben soportar largas horas de espera en nuestras eficientes delegaciones o sufrir la resaca que les provoca la extrema pasión y honestidad con las que trabajan los Ministerios Públicos.
Fundamento versus apreciación
Todo indica que las legislaciones existentes en México con respecto a la protección de datos no dejan de ser meros recetarios que, a lo sumo, sirven a los Ministerios Públicos para aletargar resoluciones o persuadir la impartición de justicia. Sabemos que quien acusa debe cumplir con ciertos requisitos y evidenciar un posible delito mediante la presentación de pruebas, pero una vez cumplido este aspecto resulta que “la denuncia no procede”, incluso si se presentó una forensia de datos.
La razón de lo anterior es muy simple: el servidor público debe ligar el acto delictivo con la persona, y nadie lo ha hecho hasta ahora de manera concreta, al menos en los casos de los que me he podido enterar; es decir, falta esa conexión legal entre quien comete y quien denuncia un delito. Pareciera que la apreciación de quienes imparten la ley está por encima de la ley misma, y que los avisos de privacidad o las reglamentaciones para proteger la información de las personas y las organizaciones no están dando el ancho.
La Ley Federal de Protección de Datos Personales es presumiblemente un buen comienzo; apenas entró en vigor en 2010 y, por lo mismo, padece de muchos “peros” que habrán de solventarse con el tiempo. Mientras esta Ley agarra color y forma, nuestra recomendación para salir del paso y evitarse malas experiencias con los impartidores de justicia es buscar esa conexión de la que hablamos en el párrafo anterior; realice para ello un contrato de confidencialidad que será signado por usted y su contraparte.
Dicho contrato de confidencialidad debe contemplar también un anexo en el que usted aparece como el legítimo poseedor de sus datos; fírmelo de conformidad y ponga su huella digital si es posible; además, exija que le entreguen una contraseña (password), no sin antes percatarse de que en ese escrito están todos los datos de las personas involucradas, incluyendo un testigo.
Al igual que como sucede -o debería suceder- en los llamados “Avisos de Privacidad”, un contrato de confidencialidad debe contemplar los medios para ejercer los derechos de Acceso, Rectificación, Cancelación u Oposición (derechos ARCO), así como los lineamientos para la transferencia de datos; la identidad y domicilio de la persona que recabará los datos; la finalidad del tratamiento y tipo de información recabada, así como las opciones y medios que el responsable ofrece a los titulares para limitar el uso o divulgación de los datos.
Parece demasiado, pero en un caso de deslealtad esto servirá al juzgador para no poner pretextos y para que haga justicia “como Dios manda”. El IFAI capacita, establece estándares de seguridad, ayuda a las empresas a cumplir con la ley, atiende quejas, concilia, inspecciona y -en su caso- sanciona. ¿Pero qué papel juega la tecnología en toda esta maraña?, ¿en verdad existe un equilibrio entre la aplicabilidad de las leyes y el ámbito informático?, ¿hasta dónde llega la responsabilidad de los usuarios de la tecnología y de quienes están encargados de hacer valer la normatividad en la materia?, ¿Quiénes ganarán la batalla: “los rudos” (legisladores) o “los técnicos” (expertos y usuarios informáticos)? Trataremos de resolver este tipo de cuestionamientos, pero por lo pronto les adelantamos que en la siguiente entrega hablaremos de cómo los “Pepe y Toño” pueden tecnológica y legalmente protegerse del posible robo de información por parte de sus propios colaboradores o empleados. Y no lo olvide, estimado lector, que el camino para llegar a un securus mundi lo iniciamos todos.
