Quiénes son los responsables de proteger mis datos personales en internet

La protección de datos es un objetivo por el que deberían luchar todos los actores involucrados: usuario, empresas y Estado. Cada uno juega un papel fundamental en la construcción de un entorno seguro, que minimice las posibilidades de riesgo para evitar que la información personal caiga en manos de ciberdelincuentes.

Los peligros ya están claros: robo de dinero, suplantación, espionaje, secuestro de datos... Una lista larga y Latinoamérica hay un gran camino por recorrer para garantizar entornos seguros para los usuarios.

Según el informe LATAM CISO 2023, creado en Estados Unidos, en Latinoamérica suceden 1.600 ciberataques por segundo y el 11% de las empresas encuestadas no evalúan los riesgos que corren por estos hechos; además, un tercio de ellas hace la valoración respectiva una vez al año.

En consecuencia, se han creado leyes de protección de datos con más de una década de antigüedad que están diseñadas en su mayoría para la reacción y no la prevención.

Apenas al 67% de los latinoamericanos les preocupa su ciberseguridad, a pesar de que el 83% de las organizaciones de la región se han visto involucradas en alguna vulneración de datos.

Con este panorama, se crea un gran interrogante: qué están haciendo los actores para cuidar los datos personales.

La capacidad de las leyes

A diferencia de Europa, donde existe una ley llamada Data Protection Regulation (GDPR) en la Unión Europea, en Latinoamérica la protección de datos depende de cada país.

Solamente en Ecuador y Brasil se han aprobado nuevas reglamentaciones en los últimos dos años, el resto de países tienen normativas con más de una década de vigencia.

Por ejemplo, en Colombia la legislación de protección de datos fue creada en 2012, en México en 2017, en Argentina en 2000 y Chile en 1999, años en los que el mundo digital era otro.

“Hoy pospandemia, uno por WhatsApp hace un pedido, una compra, le manda una captura de la cédula, ahí es donde empieza la problemática actual, porque muchas cosas se digitalizaron y el mercado demanda eso. Pero las qué leyes no se actualizaron para revisar cómo se comparte la información, quién la tiene, dónde se resguarda y qué hacen las organizaciones con ella”, aseguró Andrés Mendoza, director regional para Latam de ManageEngine, empresa que brinda soluciones de ciberseguridad.

Si bien gran parte de los países han hecho modificaciones a sus reglamentaciones, las posibilidades de un cambio general en las políticas públicas de protección dependen de un gobierno que quiera hacerlo y proponga ese nuevo camino. A pesar de que debería ser una política de Estado.

Además, la mayoría de las leyes actuales tienen una función reactiva, es decir, actúan cuándo sucede una vulneración de datos o cuando se presenta un ataque. Pero todo el proceso previo está desamparado.

“Acá está la ley, pero no hay nadie que nos ayude a hacerla cumplir, respetarla, revisar o auditar a las empresas”, afirmó Mendoza.

Desde Fluid Attacks, compañía especializada en realizar pruebas de seguridad, proponen soluciones para fortalecer las políticas públicas de ciberseguridad como ir más allá de la protección interna de las organizaciones, realizar constantes evaluaciones, promover la divulgación de incidentes y estrategias, crear entidades especializadas para prevenir ciberataques y promover el desarrollo de tecnologías seguras.

Qué sucede en las empresas

Hoy gran parte de las compañías tienen datos de sus usuarios y empleados, desde información que recolectan en la entrada de un edificio hasta números de tarjetas de crédito por compras en línea.

“Las empresas saben que están recolectando muchos datos porque es el negocio, pero no son realmente conscientes del tamaño y de la magnitud. Hoy cada interacción, cada clic, cada mensaje es un dato y el tema es cómo los almacenan, porque muchas empresas solo hacen eso y no los están procesando y cuidando”, dijo Natty Herrera, analista de datos.

De ahí se desprende un dato que va ligado al punto anterior del estado actual de las leyes, y es que las compañías tienen un marco amplio por el cual moverse en el que saben que las sanciones son laxas.

“Las empresas dicen: ‘nadie va a controlarme, nadie me sanciona, significa que tengo libre elección de lo que puedo hacer. Cuando pase algo criticó o urgente tengo que hacer algo reactivamente y regresemos a implementar controles’. Esta es una costumbre muy latinoamericana”, contó Andrés.

Lo que desencadena en “corrupción”, como lo llama Herrera. Generando distintos casos en los que los mismos empleados filtran bases de datos para venderlas o las compañías se “toman libertades que están completamente desdibujadas ante la ley” para aprovechar los datos de los usuarios.

Como el caso que sucedió en Colombia en 2020, en el que una empresa de telecomunicaciones accedió a la base de datos de portabilidad, que compartía con otras compañías, para tomar los correos de esos usuarios y enviarles promociones de sus productos. Lo que llevó a una sanción económica, aunque solamente después de que alguien presentó una denuncia por la irregularidad.

Y qué hacemos como usuarios

Hoy cada persona es un dato, es una oportunidad de construir información para potenciar un negocio. Por eso es fundamental conocer los derechos que tenemos, como: pedir que nos eliminen de bases de datos, requerir a las empresas la información que tienen de nosotros, solicitar permiso para el tratamiento de los datos y presentar quejas en caso de un mal tratamiento.

Pero también es deber nuestro conocer qué términos y condiciones estamos aceptando al acceder a una red social, realizar una compra o crear cualquier cuenta.

“En todo los términos y condiciones siempre habrá algo que nos ponga en riesgo como usuarios. Por ejemplo, pasa que si una empresa pertenece a un grupo de más compañías, los datos de sus usuarios pertenecen a todo el conglomerado. Por eso debemos ser más conscientes, leer y saber que cuando algo es gratis es porque el negocio son nuestros datos”, concluyó la analista.