Con las nuevas tecnologías y el uso masivo del social media, la información convencional que identifica a una persona ha quedado obsoleta.
Con el mayor uso de Internet como medio de comunicación y el incremento del tiempo y medios de acceso, la pérdida de privacidad sigue siendo la principal preocupación de la gran mayoría de los usuarios en dicho entorno, desde los medios sociales hasta los servicios en la nube, agravado con los sucesos del caso Snowden o la polémica de la NSA.
Es importante entender que las medidas de seguridad que debe adoptar un usuario mitigan el impacto y ocurrencia de varios ataques informáticos como intrusiones, códigos maliciosos, robo de información, etc., pero no tienen la misma eficacia al momento de resguardar la privacidad de la persona en determinados escenarios. Con respecto a los mecanismos “tradicionales” de protección, una solución de seguridad resguarda al usuario de diversos códigos maliciosos, un firewall de las intrusiones, la doble autenticación de ataques que puedan comprometer la contraseña y así sucesivamente.
Adicionalmente, puede que una persona minimice los riesgos en el robo o suplantación de la identidad adoptando controles de privacidad en sus perfiles personales; pero no podrá evitar que familiares, amigos o grupos de interés desvelen, sin mala fe, información no deseada sobre dicha persona. Esto puede ocurrir indicando datos directos u obtenerse mediante patrones de comunicación social (pertenencia a grupos de interés, empresas, seguimiento de información, etc.)
Sin embargo, en el caso que los datos del usuario se encuentren almacenados en un sistema cuyo uso depende de la aceptación de políticas de privacidad, es la propia empresa prestadora del servicio quien puede hacer un uso determinado de dicha información, por lo tanto, se requieren de otras medidas para aumentar la privacidad. En este contexto, un aspecto primordial es leer detenidamente el contrato de uso de los servicios y programas que se utilizan. Es importante considerar que cuando una persona acepta este tipo de contratos, estaÌÂÂ aceptando explícitamente todos los puntos que allí se detallan sin importar si estos fueron leídos o no. Por norma general el tipo de contratos que emplean los proveedores de servicios en la nube son de cláusulas cerradas, y no de negociación abierta entre las partes.
En este sentido, si una empresa proveedora de algún servicio tecnológico establece en su política de privacidad cláusulas que mencionan posibles usos para la información almacenada, los mecanismos “tradicionales” de protección implementados por los usuarios no podrán impedir que esa información sea utilizada con algún propósito establecido en el contrato. Por ejemplo, algunos proveedores continúan almacenando los archivos del usuario incluso si se cancela el servicio, por lo tanto, los datos podrían resultar comprometidos en caso que esa empresa sea víctima de algún incidente informático.
Asimismo, el país en el que reside el servidor que almacena la información también es un aspecto crítico que puede influir en la seguridad y privacidad de dicha información. Cada país tiene un marco normativo distinto con respecto a la protección de datos personales en entornos informáticos, por lo tanto, una legislación más estricta puede favorecer el nivel de protección de los datos. Sin embargo, un sistema legal menos riguroso o la inexistencia de una norma específica podría afectar negativamente la privacidad de la información. En líneas generales, si los datos se almacenan fuera del espacio de la Comunidad Europea se consideraría como una transferencia internacional de datos, y por lo tanto, pueden requerirse garantías jurídicas adecuadas
Considerando la ley aplicable en España, independientemente del tipo de servicio o proveedor, el cliente sigue siendo el responsable del tratamiento de los datos.
A pesar de la gran tecnificación de las medidas de seguridad para combatir al ciber-crimen, la concienciación sigue siendo el arma preventiva más efectiva.
Desde BIP recomendamos revisar la estrategia de clasificación y tratamiento de la información, así como en las medidas de autenticación y control de accesos. De esta manera, al contratarse un servicio en la nube, no solo debe centrarse en las cláusulas del contrato, sino en adecuar las políticas de seguridad que se delegan con motivo del servicio contratado.
Finalmente un consejo, cuando se esté realizando cualquier operación electrónica, es recomendable comportarse como si ésta fuera presencial, y saber que si se firma o escribe algo, no será sobre papel mojado sino en un medio más perdurable que la piedra.