Falta de Cifrado en Datos Sensibles: Crónica de un Desastre Anunciado
La Revelación: Guardar Secretos en una Caja de Cristal
Vamos a partir de una premisa que puede sonar disruptiva: la información que no querés que otros vean, conviene protegerla. Asombroso, lo sé. Esta idea, que aplicamos instintivamente desde que guardábamos un diario íntimo con un candado de juguete, parece evaporarse en el ámbito digital corporativo. El acto de cifrar datos no es más que la versión moderna y robusta de ese candado. Consiste en transformar información legible (como tu nombre, DNI o historial de crédito) en un galimatías indescifrable para quien no posea la clave de acceso. Dejar datos sensibles sin cifrar es el equivalente a escribir esos mismos secretos en una servilleta y abandonarla en la mesa de un bar concurrido, esperando que nadie la lea.
Desde una perspectiva legal, esta omisión no es un simple descuido, es una violación flagrante de la normativa vigente. La Ley de Protección de Datos Personales N° 25.326, en su artículo 9, consagra el llamado “deber de seguridad”. Este artículo no da lugar a demasiadas interpretaciones poéticas: impone al responsable del archivo o base de datos la obligación de adoptar las “medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales”. ¿Y qué medida técnica puede ser más elemental y necesaria para la seguridad de datos digitales que el cifrado? Argumentar en contra sería como sostener que un banco no necesita caja fuerte porque los billetes están dentro del edificio.
Cuando hablamos de datos sensibles, la exigencia se multiplica. La propia ley, en su artículo 2, define como tales a aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Dejar esta categoría de información en texto plano no es solo negligencia, es una imprudencia mayúscula. Es invitar al desastre, sabiendo que las consecuencias de una filtración en este ámbito son devastadoras para la vida, la intimidad y la dignidad de las personas. La ley no pide proezas tecnológicas, sino una diligencia razonable. Y hoy, la razonabilidad dicta, con una claridad meridiana, que los datos sensibles se cifran. Siempre.
El Manual del Acusado: Estrategias para Afrontar lo Inevitable
Supongamos que lo inevitable ocurrió. La base de datos, esa que contenía una pila de información sensible, fue accedida y ahora su contenido circula por los rincones menos recomendables de internet. Vos, como responsable, tenés un problema. El primer consejo, y el más difícil de aceptar, es abandonar la negación. Frases como “fue un ataque sofisticado e impredecible”, “nuestros sistemas eran robustos” o el clásico “el presupuesto no alcanzaba para el cifrado” no constituyen una defensa legal válida. Son, en el mejor de los casos, una admisión de la propia impericia.
La estrategia legal no debe centrarse en justificar lo injustificable, sino en mitigar los daños y gestionar las consecuencias. Lo primero es actuar con rapidez. Documentar cada paso que se da a partir del descubrimiento de la brecha de seguridad: cómo se contuvo, qué medidas se tomaron para que no vuelva a ocurrir y cómo se notificó (o se planea notificar) a los afectados y a la Agencia de Acceso a la Información Pública (AAIP), la autoridad de aplicación en la materia. La transparencia, aunque duela, suele ser mejor valorada que el ocultamiento. La AAIP tiene potestad para imponer sanciones que, si bien la ley fijó en montos que hoy resultan irrisorios, marcan un precedente y activan la maquinaria del daño reputacional.
El verdadero frente de batalla, sin embargo, no siempre es el administrativo. Es el judicial. Cada titular de datos afectado es un potencial demandante en un juicio por daños y perjuicios. Y aquí los montos pueden ser siderales, especialmente en acciones de clase. La defensa deberá ser técnica y precisa, buscando limitar la responsabilidad, pero partiendo de una posición de debilidad evidente. La falta de cifrado es una prueba casi irrefutable de negligencia (culpa, en términos del Código Civil y Comercial). La discusión legal no será sobre si hubo o no culpa, sino sobre la magnitud del daño y la relación de causalidad. Es un camino largo y costoso que se podría haber evitado con una medida preventiva cuyo costo es, invariablemente, una fracción del desastre que provoca su ausencia.
La Venganza del Titular: Cómo Articular un Reclamo Coherente
Ahora, pongámonos del otro lado del mostrador. Sos el titular de los datos, el ciudadano cuya información personal fue expuesta por la desidia de un tercero. La sensación de impotencia y bronca es lógica, pero la clave es canalizarla en una acción metódica y fundada. La “venganza” más efectiva no es el escrache en redes sociales, sino el ejercicio riguroso de tus derechos.
El primer paso es formal. Tenés que ejercer tu derecho de acceso, contemplado en el artículo 14 de la Ley 25.326. Esto implica intimar fehacientemente a la empresa (mediante carta documento, por ejemplo) para que en un plazo de 10 días corridos te informe qué datos tuyos posee y, en este caso, si fuiste afectado por la brecha de seguridad. Su silencio o una respuesta evasiva te abren la puerta al siguiente paso: la denuncia ante la AAIP. Este procedimiento es gratuito y puede iniciar un sumario administrativo contra la empresa.
Paralelamente, y aquí es donde la cosa se pone seria, está la vía civil. Para reclamar una indemnización por daños y perjuicios, necesitás demostrar tres cosas: la negligencia de la empresa (la falta de cifrado es un excelente punto de partida), el daño que sufriste (que puede ser patrimonial, como un fraude bancario, o moral, como la angustia y la afectación a tu intimidad) y que ese daño fue consecuencia directa de esa negligencia. Probar el daño moral puede ser complejo, pero no imposible. La exposición de datos sensibles, por su propia naturaleza, genera una aflicción y una vulnerabilidad que los tribunales reconocen cada vez con mayor frecuencia. Requiere paciencia y un buen asesoramiento legal, pero es el único camino para que la responsabilidad por la desprotección de tus datos no quede en una simple anécdota.
Verdades Incómodas y el Futuro que ya Llegó
Es tentador pensar que el cifrado es una panacea, una solución mágica que resuelve todos los problemas de seguridad. No lo es. Es, simplemente, el punto de partida. Es el cinturón de seguridad de un auto: no evita el choque, pero reduce drásticamente las posibilidades de un desenlace fatal. No tenerlo no es una opción arriesgada, es una estupidez. En el mundo de los datos, no cifrar información sensible cae en la misma categoría. Es una decisión consciente de ignorar el riesgo más básico.
La verdad incómoda es que la mayoría de las brechas de seguridad no se deben a genios del mal con tecnologías de ciencia ficción, sino a una acumulación de negligencias mundanas. Se deben a una cultura corporativa que ve la protección de datos como un gasto y no como una inversión, como un estorbo burocrático en lugar de un pilar fundamental de la confianza del cliente. Se invierten fortunas en marketing para construir una imagen de marca, pero se escatiman centavos en las cerraduras digitales que protegen el activo más valioso de la era de la información: los datos de las personas.
El marco legal argentino, con la Ley 25.326 a la cabeza, existe desde el año 2000. No estamos hablando de una novedad. El futuro no traerá, probablemente, leyes radicalmente distintas, sino una aplicación más severa de las que ya tenemos y, sobre todo, una mayor conciencia por parte de los consumidores y usuarios. El verdadero cambio no vendrá de las multas, sino del mercado. Las empresas que sistemáticamente fallen en proteger nuestra información empezarán a perder clientes, reputación y, finalmente, su negocio. Estos desastres anunciados seguirán ocurriendo hasta que una verdad, tan obvia como incómoda, se vuelva práctica corriente: cuidar los datos ajenos es, antes que nada, una forma inteligente de cuidar el propio negocio.
