Ausencia de Medidas de Seguridad en Protección de Datos Personales
La Revelación: Los Datos Personales Valen Algo
Hay una verdad incómoda que parece resistirse a ser asimilada en ciertos ámbitos empresariales: los datos personales no son confeti digital. No son una colección de estampitas que uno acumula por hobby. Son, para decirlo en criollo, un activo. Y como todo activo, tiene un valor. Y como todo activo valioso, hay gente interesada en obtenerlo sin permiso. Ante esta revelación, que para algunos suena tan novedosa como la rueda, el legislador tuvo la extraña ocurrencia de crear una norma, la Ley 25.326, para protegerlos.
El corazón de esta ley, en lo que a seguridad respecta, late en su artículo 9. Este artículo, en un alarde de sentido común, establece lo que se conoce como el ‘deber de seguridad’. ¿Qué significa esto? Que el responsable de una base de datos debe adoptar las ‘medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales’. El objetivo es simple: evitar su adulteración, pérdida, consulta o tratamiento no autorizado. No es una opción. No es una sugerencia amable. Es una obligación.
Imaginen que uno deja el auto en la calle, con las llaves puestas y las ventanas bajas. Si se lo roban, ¿puede uno alegar que fue víctima de un acto de delincuencia imprevisible? Podría, pero el juez probablemente levantaría una ceja. Con los datos pasa algo similar. Dejar una base de datos sin cifrar, con accesos genéricos y contraseñas débiles, es el equivalente digital a dejar las llaves puestas. La ley no exige ser un experto en ciberseguridad nivel película de Hollywood, pero sí espera una diligencia razonable, un cuidado acorde al tipo de información que se maneja. Es, en esencia, pedirle al guardián que, como mínimo, cierre la puerta con llave.
El Teatro de la Seguridad: Medidas Técnicas y Organizativas
Cuando la ley habla de ‘medidas técnicas y organizativas’, no se refiere a un concepto abstracto. Es una lista de tareas concretas que, curiosamente, muchas veces se omiten por pereza, por costo o por una fe ciega en que ‘a nosotros no nos va a pasar’.
Las medidas técnicas son el fierro, lo tangible. Hablamos de cifrado de datos, tanto en reposo (en el disco rígido) como en tránsito (cuando viajan por la red). Es la diferencia entre que un ladrón se lleve un cofre cerrado con candado o una caja de zapatos llena de billetes. Hablamos de firewalls, de sistemas de detección de intrusos, de controles de acceso robustos que aseguren que solo quien debe acceder a ciertos datos pueda hacerlo. Es asegurarse de que el empleado de marketing no pueda ver las fichas médicas de los clientes, por ejemplo. Parece obvio, pero la obviedad es el primer concepto que se pierde en la vorágine del día a día.
Luego vienen las medidas organizativas, la parte humana, el eslabón que con más frecuencia se rompe. De nada sirve tener la mejor cerradura del mundo si le damos una copia de la llave a cualquiera. Aquí entra la capacitación del personal, las políticas claras de seguridad de la información, los acuerdos de confidencialidad, la designación de un responsable y la creación de procedimientos para actuar en caso de un incidente. Es enseñarle a la gente a no hacer clic en cualquier cosa, a no usar la misma contraseña para el sistema de la empresa y para la página de delivery de empanadas. Es, en definitiva, generar una cultura de cuidado. Sin esto, la mejor tecnología es inútil. Es como tener un sistema de alarma de última generación y dejar la ventana del baño abierta.
Manual de Supervivencia para el Acusado (o Cómo Parecer Sorprendido)
Si la brecha de seguridad ya ocurrió y usted es el responsable de los datos, la primera tentación es entrar en pánico. La segunda es negar todo. Resista ambas. El guion habitual de defensa suele tener tres actos, todos igualmente endebles.
Acto I: La Sorpresa. La primera reacción suele ser la de una indignación teatral. ‘¡Hemos sido víctimas de un ciberataque de altísima complejidad!’. Se usan términos grandilocuentes para describir lo que, a menudo, fue un simple ataque de phishing o la explotación de una vulnerabilidad conocida desde hace meses. Legalmente, esto es irrelevante. El deber de seguridad es un deber de resultado. La ley no le pregunta si el ataque fue sofisticado, le pregunta qué hizo usted para prevenirlo. Si la puerta de entrada era un software sin actualizar desde 2015, la ‘sofisticación’ del atacante es un mérito de él, no una excusa para usted.
Acto II: El Empleado Infiel. Un clásico. ‘La filtración fue culpa de un ex empleado resentido’. Es posible. Pero la ley vuelve a preguntar: ¿qué medidas tomó para que ese empleado no pudiera acceder a los datos una vez desvinculado? ¿Se revocaron sus credenciales de acceso de forma inmediata? ¿Existía un registro de quién accedía a qué información? Culpar a un tercero no exime la responsabilidad propia si no se puede demostrar que se hizo todo lo posible para limitar su capacidad de daño.
Acto III: La Insignificancia. ‘Solo se filtraron nombres y correos electrónicos’. Minimizar el daño es una estrategia común. Sin embargo, incluso esa información permite realizar estafas dirigidas, robo de identidad y otras acciones maliciosas. El deber de seguridad protege todos los datos personales, no solo los ‘súper secretos’. La defensa real no pasa por la negación, sino por la demostración de diligencia. Poder exhibir políticas de seguridad, registros de capacitación, auditorías y pruebas de que se actuó con la debida diligencia es la única defensa sólida. Todo lo demás es, simplemente, una mala actuación.
Guía de Combate para el Afectado (o Cómo No Perder la Pila)
Del otro lado del mostrador está usted, el afectado. Sus datos están circulando por lugares oscuros de internet y la empresa responsable le ofrece, con suerte, una disculpa tibia y un mes gratis de su servicio. No es suficiente. La ley le da herramientas, pero exigen paciencia y método.
Paso 1: Documentar todo. La memoria es frágil y las promesas verbales se las lleva el viento. Guarde correos electrónicos, capturas de pantalla, notificaciones. Si la empresa admitió la brecha, guarde esa comunicación como oro. Si se enteró por otro lado, documente cómo y cuándo. Esta será su evidencia fundamental.
Paso 2: La intimación formal. Antes de ir a la guerra, hay que enviar un ultimátum. Se debe intimar a la empresa, de forma fehaciente (carta documento es la vía clásica), para que en un plazo razonable informe qué medidas de seguridad tenía implementadas al momento del incidente. Pida detalles: ¿Estaban los datos cifrados? ¿Quién tenía acceso? ¿Qué políticas de seguridad existían? Lo más probable es que la respuesta sea evasiva o inexistente, pero esta intimación es un requisito procesal clave y su falta de respuesta es un indicio fuerte en su contra.
Paso 3: La denuncia administrativa. Con la prueba de la intimación en mano, el siguiente paso es presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP). Este organismo es la autoridad de aplicación de la Ley 25.326. La denuncia iniciará una investigación y, eventualmente, puede resultar en sanciones para la empresa. Si bien esto no le dará una compensación económica directa, genera un precedente fundamental y un dictamen oficial sobre la falta de la empresa.
Paso 4: La vía judicial. Con el posible dictamen de la AAIP o simplemente con la evidencia recolectada, se puede iniciar una acción judicial por daños y perjuicios. Aquí es donde se reclama una compensación por el daño material y moral sufrido. El camino es largo y requiere un patrocinio legal que entienda la materia. No se trata solo de tener razón, sino de poder probarla. El objetivo no es solo una reparación económica, sino forzar un cambio de conducta. Porque al final del día, las empresas solo toman en serio la seguridad de los datos cuando la falta de ella empieza a doler en el bolsillo.
