Publicado originalmente el 4 de febrero de 2019 en La Segunda
En menos de una semana nos enteramos que una lista con 773 millones de correos electrónicos y contraseñas fue filtrada por Internet, que siete años de documentos del FBI fueron hallados en línea y que la consulta comunal del Parque Padre Hurtado expuso los datos personales de todos quienes participaron en el proceso.
La pregunta obvia es ¿por qué se siguen filtrando nuestros datos? En simple: porque los responsables de resguardar esos datos no pagan las consecuencias. El daño reputacional suele no ser permanente; Equifax, Uber, Dropbox y otras empresas que han sufrido filtraciones de millones de datos de usuarios siguen operando sin problema y sus acciones no sufrieron una merma sostenida en el tiempo.
Se hace necesario entonces contar con incentivos (garrotes) y estímulos (zanahorias) que permitan enfrentar el problema. Partamos por el garrote: la regulación debe imponer sanciones realmente disuasivas y que no puedan contabilizarse en su estructura de costos. En la Unión Europea pueden establecerse multas de hasta un 4% de los ingresos anuales de la empresa, un claro incentivo para tomarse la seguridad de los datos en serio.
Ahora, ¿cuántas filtraciones existen de las cuales nunca nos enteramos? Entra en juego la zanahoria. Actualmente existen incentivos perversos para evitar que se hagan públicas las filtraciones de datos. Esto es complejo porque si una organización descubre una filtración de datos y no avisa a sus pares, nadie sale beneficiado.
A nivel comparado se ha avanzado en establecer la obligatoriedad de reportar incidentes informáticos, tanto a la autoridad como eventualmente a las personas afectadas. De esta forma, otros actores saben cuando una falencia en el sistema que utilizan es descubierta y pueden prevenir similares ocurrencias, pasando de la lógica del “sálvese quien pueda” a un círculo virtuoso de compartir información y permitir la prevención.
En Chile se ha avanzado en la obligación de reportar incidentes en instituciones financieras y organismos públicos. El proyecto de ley de datos personales propone una figura similar y lo extiende a cualquier responsable de bases de datos. Lamentablemente, el proyecto aún no sale del Senado (restando aún la Cámara de Diputados) a pesar de haber sido presentado hace casi dos años.
Pablo Viollier 