Robo de identidad: Cuando las bases de datos son un colador
La Anatomía de un Desastre Anunciado
Imaginemos una base de datos. No como una entidad etérea y compleja, sino como lo que realmente es: un archivo glorificado, una planilla de Excel con esteroides donde una empresa guarda, con un cariño a veces dudoso, todo lo que sabe sobre nosotros. Nombre, apellido, DNI, CUIT, domicilio, historial de compras, deudas, y hasta nuestras preferencias más mundanas. Ahora, imaginemos que la puerta de la habitación donde se guarda este archivo no tiene llave, o tiene una llave que usan todos, o directamente está rota. Eso es una base de datos vulnerable.
El imaginario popular, alimentado por el cine, nos hace pensar en hackers encapuchados escribiendo código verde a velocidades inhumanas. La verdad es bastante más mediocre. Una vulnerabilidad puede ser un software sin actualizar durante meses, una contraseña de administrador que es ‘admin’, o un empleado que, con la mejor de las intenciones, se lleva una copia de la base de datos a su casa en un pendrive para ‘trabajar más cómodo’. El resultado es el mismo: una exposición masiva de información que nunca debió salir de un entorno controlado.
Aquí entra en juego la Ley 25.326 de Protección de Datos Personales. Una pieza legislativa que, con optimismo admirable, establece que quien recopila datos debe garantizar ‘medidas de seguridad adecuadas’ para protegerlos. La palabra ‘adecuadas’ es una joya de la ambigüedad legal. ¿Qué es adecuado? ¿Un firewall? ¿Un antivirus? ¿Rezar? Para muchas organizaciones, ‘adecuado’ es el mínimo esfuerzo posible que les evite un problema inmediato, un cálculo que suele salirles muy mal. Porque una vez que los datos son accedidos y copiados, se convierten en un producto. Se venden en foros de la dark web por unos pocos pesos, listos para que alguien más los use para cometer una estafa, suplantar una identidad o, simplemente, arruinarle el día a un desconocido.
El Laberinto Legal para el Damnificado (o ‘el Acusador’)
Un día, recibís una intimación por una deuda de un crédito que jamás pediste. O te cortan la línea de celular por falta de pago de un plan que nunca contrataste. Bienvenido al club. Acabás de descubrir que tu identidad ha sido robada. El primer instinto, casi un acto reflejo, es la denuncia penal. Se invoca la figura de estafa (Artículo 172 del Código Penal) o los delitos incluidos en la Ley 26.388, conocida como Ley de Delitos Informáticos. Esto inicia una investigación fiscal que, seamos honestos, tiene la velocidad y la agilidad de un glaciar.
Mientras la justicia penal hace su lento trabajo, la víctima tiene que resolver el problema práctico. Aquí es donde la ley de protección de datos muestra su utilidad. A través de una acción de Habeas Data, podés exigirle a cualquier empresa que te informe qué datos tuyos tiene, para qué los usa y, lo más importante, podés exigir su rectificación o supresión. Sos el dueño de tus datos. Un concepto revolucionario que a muchas empresas todavía les cuesta asimilar. El procedimiento más directo suele ser enviar cartas documento. Una al banco o financiera donde se cometió la estafa, desconociendo la operación y exigiendo la baja del producto; y otra a la empresa cuya base de datos fue vulnerada, intimándola a que cese el tratamiento de tus datos y se haga responsable del daño.
Paralelamente, se puede presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), que es la autoridad de aplicación de la Ley 25.326. Este organismo puede investigar a la empresa y aplicarle sanciones. Es un camino burocrático, pero ejerce una presión considerable. La cruda realidad es que el damnificado se ve forzado a librar una guerra en múltiples frentes, con el absurdo agregado de tener que probar una negación: demostrar que no fue él quien pidió ese crédito o contrató ese servicio. Una verdadera joya de la lógica procesal.
Consejos para el Acusado: ¿Culpable o Chivo Expiatorio?
Ahora, pongámonos del otro lado del mostrador. Alguien es acusado formalmente de haber accedido ilegalmente a la base de datos. Este acusado puede ser el delincuente que orquestó el robo, o puede ser un simple empleado de sistemas, un ‘perejil’ cuya cuenta fue utilizada por un tercero, o que cometió un error sin intención maliciosa. El principio de inocencia es un pilar de nuestro sistema de derecho, pero en la práctica, la mancha de una acusación de este tipo es difícil de limpiar.
La evidencia central en estos casos es de naturaleza digital: los registros o ‘logs’. Estos archivos registran quién accedió al sistema, desde qué dirección IP, a qué hora y qué hizo. Son la huella digital del delito. La defensa de un acusado debe centrarse, primero, en la integridad de esa prueba. Un perito informático es fundamental para analizar si la cadena de custodia de la evidencia digital fue respetada. ¿Se puede asegurar que esos logs no fueron alterados? ¿La IP registrada corresponde inequívocamente al acusado o podría provenir de una red Wi-Fi pública?
Segundo, es crucial analizar la intencionalidad, el dolo. El Código Penal castiga la acción dolosa, es decir, la realizada con intención de dañar. ¿El acusado actuó con malicia o fue negligente? Un administrador de sistemas que, por error, deja una base de datos expuesta mientras realizaba tareas de mantenimiento no es lo mismo que alguien que copia deliberadamente la información para venderla. Probar esta diferencia es un arte. Por último, un argumento de defensa potente es atacar la seguridad de la propia empresa. Si la compañía no tenía políticas de seguridad serias, si las contraseñas eran débiles y los sistemas obsoletos, ¿cómo puede culpar con toda la fuerza a un solo individuo? La Ley de Contrato de Trabajo, de hecho, pone los riesgos del negocio en cabeza del empleador, y la ciberseguridad, nos guste o no, es un riesgo inherente al negocio del siglo XXI.
Verdades Incómodas: La Responsabilidad que Nadie Quiere
Al final del día, todo se reduce a una pregunta: ¿de quién es la culpa? La respuesta es, deliciosamente, de todos y de nadie. Sin embargo, la ley es bastante clara en un punto que muchos directivos prefieren ignorar. La responsabilidad objetiva. Según la Ley 25.326 y el Código Civil y Comercial de la Nación, la empresa que recolecta y almacena los datos es la ‘responsable registrada’. Esto significa que tiene el deber de custodiarlos. Si esos datos se filtran, la empresa es responsable del daño que eso genere, independientemente de si fue víctima de un ‘hacker sofisticado’ o de un descuido interno. Es un riesgo propio de su actividad comercial. Asumir la recolección masiva de datos implica asumir el costo de su protección. No hay excusas.
Esta responsabilidad abre la puerta a reclamos por daños y perjuicios. Y no solo para compensar el daño material (la deuda generada, por ejemplo), sino también el daño moral y, atención a esto, el daño punitivo. Esta figura, proveniente de la Ley de Defensa del Consumidor (Ley 24.240), permite a los jueces aplicar una multa extra a la empresa, no para resarcir a la víctima, sino para castigarla por su grave negligencia y para disuadirla a ella y a otras de incurrir en la misma conducta. Es un mensaje claro: la desidia tiene un precio, y puede ser muy alto.
Hemos construido una sociedad digital sobre cimientos de una fragilidad alarmante. Entregamos voluntariamente nuestra información más sensible a cambio de un servicio ‘gratuito’, un descuento o la validación social de una red. Confiamos ciegamente en que corporaciones anónimas serán guardianes éticos y competentes de nuestra vida digital, una suposición que peca de una inocencia enternecedora. El derecho siempre corre por detrás, intentando poner parches a una estructura que hace agua por todos lados. Mientras tanto, nuestra identidad no es más que una línea en una tabla, un activo intangible en el balance de una empresa, esperando pacientemente a que un error humano o una decisión mezquina la ponga en el mercado. Un panorama, sin duda, tranquilizador.
