El caso Ashley Madison: ¿qué nos debe preocupar ?

Víctor Salgado

EXTRA VOZ

BOBBY YIP

Más allá de los problemas de seguridad de una empresa, como Ashley Madison, que alardeaba precisamente de mantener la confidencialidad de sus miembros; más allá de ser el resultado de una filtración interna o el producto de un ataque informático desde fuera, lo cierto es que este tipo de filtraciones nos debe preocupar a todos los usuarios de la Red. Aquí lo explicamos.

30 ago 2015 . Actualizado a las 18:52 h.

La seguridad total no existe y debemos ser conscientes de ello. Eso no significa que estemos totalmente desprotegidos: para eso está la ley y las medidas que podemos adoptar para defender nuestros derechos en Internet.

Regístrate gratis y recibe cada mañana en tu correo las principales noticias del día

¿Qué debemos tener en cuenta?

1. La responsabilidad del autor de la filtración:

Desde luego, parece obvio que quien se haya colado en el sistema informático de Ashley Madison y haya filtrado esta información, ha cometido algún tipo de delito pero ¿cuál? Pues bien, según nuestro vigente Código Penal, cuya última reforma entró en vigor el 1 de julio pasado, se tipificaría como un delito contra la intimidad y, en concreto, de descubrimiento y revelación de secretos. Así, el artículo 197.2 dispone que: «Las mismas penas (de 1 a 4 años de prisión y multa) se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. (?)»

Pero ahí no queda la cosa ya que el apartado 3 del citado artículo dice que:

«Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores». Es decir, que si el autor de estos hechos fuera juzgado en España se enfrentaría a una pena de prisión importante ya solo por este delito, con independencia a otros que le pudieran ser imputables en función de la investigación.

2. Responsabilidad por el acceso y uso de los datos por terceros:

Por supuesto, las responsabilidades no acaban ahí y esto quizá sorprenda dada la gran cantidad de ramificaciones que ha tenido este caso por parte de empresas, particulares y medios. Esto, nunca mejor dicho, es un aviso a navegantes: el delito que veíamos anteriormente también podría ser imputable a cualquiera que acceda o intente aprovecharse de dichos datos. Así, el artículo 197.2 in fine dispone que: «Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero». Es decir que, salvo que estemos autorizados para ello, cualquier acceso o utilización de dichos datos personales reservados, en perjuicio de tercero (como su revelación, compartición, explotación comercial, etc.) nos podría acarrear una pena de prisión de 1 a 4 años. Ahí queda dicho.

3. Responsabilidad de la empresa titular:

¿Y qué hay de Ashley Madison? ¿Qué responsabilidad asume la empresa titular del servicio por este tipo de hechos? Hay que partir de que la seguridad total no existe y de que, por muchas medidas de seguridad que se adopten nunca serán suficientes para impedir un hecho así. Sin embargo, eso no quiere decir que la empresa no asuma ningún tipo de responsabilidad: En primer lugar, asume una responsabilidad contractual con sus usuarios. En función de lo dispuesto en sus condiciones generales y de los compromisos adquiridos con sus clientes, puede estar obligada a resarcirlos por este tipo de filtraciones. Por ello, es recomendable contratar un seguro de responsabilidad civil al efecto.

En segundo lugar, deben asumir las obligaciones y requisitos impuestos por la ley para el ejercicio de su actividad. Entre ellos, en España, estaría el cumplimiento de la Ley 15/1999 de protección de datos de carácter personal (LOPD) y su reglamento de desarrollo aprobado por Real Decreto 1720/2007. Si las medidas de seguridad adoptadas, por ejemplo, no cumplieran los mínimos regulados en el Título VIII de esta última norma, se enfrentarían a una importante sanción administrativa además de una eventual compensación indemnizatoria a los usuarios afectados.

Por último, podrían incurrir en otras responsabilidades laborales, civiles o incluso penales si se demostraran, por ejemplo, acciones u omisiones negligentes que propiciaron o facilitaron, directa o indirectamente, la filtración de sus sistemas. Cabe recordar que, desde su reforma del 2010, el Código Penal permite imputar delitos directamente a sociedades mercantiles, además de a las personas responsables.

4. Derechos de los usuarios afectados:

Como no podría ser de otro modo, la ley protege a los usuarios afectados confiriéndoles una serie de derechos que pueden esgrimir para defenderse ante este tipo de hechos y los abusos que se pueden suscitar posteriormente respecto a sus datos.

El primero de ellos es el derecho a la intimidad, reconocido en el artículo 18.1 de nuestra Constitución, y que protege aspectos tan importantes como la información sensible de los ciudadanos, como la vida sexual en este caso, el secreto de sus comunicaciones privadas o la inviolabilidad del domicilio.

El segundo es el derecho al honor, también derecho fundamental reconocido en nuestra Carta Magna, que protege al individuo frente a cualquier intromisión o ataque a su reputación pública o propia estima.

El tercero es el más reciente derecho a la privacidad (no confundir con el primero), reconocido igualmente en el 18.4 de la Constitución y desarrollado por la citada legislación de protección de datos de carácter personal. Por último, cabe hablar del ya famoso derecho al olvido, aunque el mismo, en realidad, deriva del anterior de privacidad.

Derecho al olvido

Si bien es imposible eliminar materialmente los datos de la Red, una vez filtrados, todos estos derechos nos amparan a la hora de dirigirnos contra cualquier persona o entidad que los publique, comparta o utilice en nuestro perjuicio a nivel práctico. Por ejemplo, el derecho al olvido, correctamente ejercitado, nos permite impedir que cualquier usuario de la Red localice nuestro nombre vinculado a esta filtración cuando nos busque en Internet.

La ley nos protege pero muchas veces debemos actuar para ello.

Víctor Salgado / Abogado TIC. Pintos y Salgado @abonauta