Para proteger los datos en la red, es necesaria una combinación de normativas, estandarización y acciones individuales. Ahora que la primera ronda de sitios web que cumplen el RGPD ya forma parte del pasado, los consumidores deben dedicar el tiempo necesario a implementar prácticas de seguridad básicas que permitan mantener seguros sus datos y su información en línea.
El Reglamento General de Protección de Datos de la Unión Europea, o RGPD, entró en vigor a finales de mayo y despertó un gran interés internacional. Por fin, una organización multilateral se ha tomado seriamente el reto de proteger la privacidad en la era digital. El conjunto heterogéneo de leyes nacionales, que ofrecen desde una protección agresiva de la privacidad hasta ninguna en absoluto, han resultado ser tan ineficaces como se preveía en el mundo virtual, donde confluyen múltiples jurisdicciones. Si bien las normativas siempre implican riesgos, ha quedado claro en los últimos años que el ciberespacio requiere medidas públicas para mantener la seguridad de los usuarios y exigir responsabilidades a las empresas.
En términos generales, el RGPD requiere que las empresas que procesan los datos personales de los ciudadanos de la Unión Europea, que pueden incluir desde el nombre y la dirección hasta información biométrica, actualicen sus prácticas de recopilación, almacenamiento y divulgación de estos datos confidenciales. Por ejemplo, en la actualidad, las organizaciones deben obtener el consentimiento de los consumidores antes de almacenar su información en una base de datos. Por este motivo, es probable que su bandeja de entrada se haya visto inundada de solicitudes de aceptación de todas las empresas cuyos productos y servicios utiliza, ya que prácticamente todas las grandes compañías tienen clientes de la UE. Las empresas también deben enviar una notificación a las instituciones normativas de la UE en un plazo de 72 horas cuando los datos de los usuarios hayan estado en peligro; en los casos en que la filtración de datos haya sido grave, se debe informar de ello a los clientes inmediatamente. Además, si los usuarios quieren acceder a sus datos personales en cualquier momento o eliminarlos de acuerdo con la cláusula de «derecho al olvido» del RGPD, las empresas deben satisfacer dichas solicitudes (siempre que no haya motivos legales para conservar los datos).
Las sanciones por no cumplir estas normas son elevadas. Las empresas pueden recibir multas de hasta el 4 % de sus ingresos globales anuales por las infracciones más graves. De hecho, el primer día de aplicación de la ley, Facebook y Google recibieron cada una multas de más de 4.000 millones de dólares por no actualizar sus políticas de una manera suficiente. Implementar las protecciones necesarias implica un trabajo considerable; según el tamaño de la organización, podría ser necesario un jefe de Protección de Datos dedicado a esta tarea o incluso todo un departamento. Esto supone costes importantes para las empresas, una razón por la que los críticos de estas normativas las consideran anticomerciales. Sin embargo, para que la civilización en línea prospere, la ley y el orden deben prevalecer, de la misma forma que la frontera de América no podía ser siempre el Salvaje Oeste.
Dados su dimensión y sus mecanismos de aplicación, el RGPD promete tener efectos de largo alcance en los negocios mundiales. Ahora, los sistemas de protección de datos recibirán incentivos desde las primeras etapas del desarrollo del producto, lo cual transformará las tecnologías que se introducen en el mercado. Debido a las nuevas restricciones relativas al uso compartido de los datos, las empresas tendrán que ajustar sus estrategias publicitarias, lo cual puede generar una explosión de actividades de marketing por parte de agentes influyentes y otros tipos de publicidad de usuario a usuario.
Todo esto es, sin duda, un paso en la dirección correcta, pero no significa que la Unión Europea haya resuelto los problemas de ciberseguridad dentro de sus fronteras ni establecido un plan de acción infalible para el resto del mundo. Alcanzar la transparencia y la responsabilidad que el RGPD exige a las empresas va para largo, pero, de todos modos, los consumidores deben seguir desempeñando su papel de autoprotección. No interprete estas mejoras como un permiso para renunciar a la responsabilidad personal sobre su información. Como digo siempre que tengo la oportunidad, la educación y la vigilancia son factores cruciales. En última instancia, ninguna agencia gubernamental, departamento empresarial ni organismo legal puede ocupar el lugar de un consumidor informado y proactivo. Conozca sus derechos, comprenda cómo los programas y los dispositivos que utiliza interaccionan con sus datos y dedique el tiempo necesario a implementar prácticas básicas que mantengan su seguridad personal y la de sus datos, como mínimo en un grado razonable.
Quizá el ejemplo más claro de una práctica de este tipo sea la autenticación de dos factores (2FA) en todas sus cuentas. La activación se realiza en tan solo unos minutos y, más allá de una sola contraseña, representa un gran adelanto en materia de seguridad. Tiene la doble ventaja de que sea más difícil vulnerar sus cuentas y de que estas llamen menos la atención de los hackers, quienes a menudo se limitan a entrar en cuentas que no tengan esta configuración activada. Por supuesto, activar la autenticación de dos factores significa que, cada vez que inicie sesión desde un dispositivo nuevo, deberá realizar el paso adicional de verificar su identidad, ya sea a través de una aplicación de autenticación, un mensaje de texto (la opción menos segura) o una llave USB física (la alternativa más avanzada). Para muchos usuarios, esta molestia mínima es razón suficiente para ignorar los riesgos de no utilizar la autenticación de dos factores. Muchos otros ni siquiera son conscientes de que existe esta opción. El resultado es que más del 90 % de las cuentas de Gmail no tienen activada la autenticación de dos factores.
¿Cómo podemos cambiar esto? ¿Es meramente un problema de ignorancia y despreocupación que debe superarse a título individual? Si bien he acentuado la importancia de la responsabilidad personal, también creo en los cambios sistémicos que pueden aprovechar ciertos aspectos de la psicología humana para mejorar nuestra seguridad colectiva. El RGPD, por la parte que le corresponde, sube el listón en lo que respecta a los incumplimientos de las empresas, pero también es importante tener en cuenta los incumplimientos de los usuarios finales. ¿Qué ocurriría si la autenticación de dos factores fuera la configuración predeterminada de las cuentas de Gmail? Y, yendo aún más lejos, ¿qué ocurriría si fuera obligatoria? (Esto no sería factible para algunos usuarios, que no tienen acceso a una manera adecuada de autenticarse, pero es un experimento de meditación interesante para nuestra conversación).
Normalmente, las cuentas de correo electrónico de empresa requieren un nivel de seguridad predeterminado mucho más elevado que el de las cuentas personales porque el equilibrio entre riesgo y conveniencia que se produce en las empresas es diferente. Los pilotos de Fórmula 1 introducen en sus automóviles características de seguridad mucho más potentes que el conductor medio, aunque todos estaríamos técnicamente más seguros si lleváramos cascos y cinturones de seguridad de cinco puntos en nuestros vehículos. No obstante, hoy en día todos llevamos cinturones de seguridad, o sabemos que debemos llevarlos. (Esto lo aprendí por las malas después de golpearme fuertemente la cabeza este año: incluso si el tráfico es lento y la distancia es corta, ¡hay que abrocharse el cinturón!).
Por lo menos, Google y otros proveedores de servicios podrían indicar al usuario cómo cada opción de configuración que activa o desactiva afecta a la seguridad de la cuenta. Esto quizá podría incluso servir para crear algún tipo de puntuación de seguridad general, como el hecho de que en la actualidad muchos sitios web clasifican las contraseñas en una escala del rojo (poco segura) al verde (segura). ¿Sería una puntuación de este tipo una manera de simplificar las cosas en exceso, que ofrecería una falsa sensación de seguridad, o resultaría un paso útil hacia la estandarización de la seguridad?
Estas sugerencias pretenden servir como punto de inicio para imaginar todas las maneras en que podríamos estructurar la experiencia de usuario. Si las normativas de la importancia y del alcance del RGPD se orientaran hacia los incumplimientos del usuario final, los resultados podrían ser dramáticos. Al igual que ocurre con el uso compartido de los datos, los intereses de las empresas no se alinean necesariamente con los de los clientes. Cuando la autenticación de dos factores es la excepción y no la norma, forzar a los consumidores a adoptarla de una manera demasiado agresiva podría inducirlos a cambiar de plataforma. Los recordatorios constantes pueden resultar demasiado molestos, o incluso dar la impresión de que la empresa que los emite es propensa a las vulneraciones de su seguridad. De la misma manera que los bancos dejaron de utilizar guardas armados y una arquitectura de fortaleza en las sucursales, a las empresas en línea no les gusta la seguridad visible porque temen que desaliente a los usuarios en lugar de tranquilizarlos. Pero si los estándares de la autenticación de dos factores fueran uniformes y fáciles de usar, habría menos fricción a la hora de afrontar una adopción generalizada.
El planteamiento más eficaz es, pues, una combinación de normativas, estandarización y acciones individuales. Dicho de otra forma, debemos esforzarnos por reestructurar la arquitectura que guía nuestras decisiones y, al mismo tiempo, conservar el compromiso de mantenernos seguros en un sistema que siempre será imperfecto. Quizá, entonces, valga la pena volver a la bandeja de entrada y abrir de nuevo algunos de los correos electrónicos que recibió cuando el RGPD entró en vigor. ¿Dedicó tiempo a revisar los términos del servicio actualizados que recibió de los diversos sitios web y programas en que confía? Las organizaciones tuvieron que hacer que esta información fuera más clara y más sencilla de entender para los consumidores. Pero sigue siendo responsabilidad suya dedicar tiempo a leerla.
El alcance de la esfera digital en cada aspecto de nuestras vidas es un desarrollo relativamente nuevo, y aún deberá pasar un tiempo antes de que las normas sociales se pongan al día. Sabemos que limpiarse los dientes con hilo dental y hacer ejercicio son prácticas que contribuyen a una buena salud física; de la misma manera, practicar una buena «ciberhigiene» es esencial para la seguridad en línea. Tampoco es cuestión de creer en utopías, por supuesto. Los dentistas siguen teniendo mucho trabajo porque los pacientes no siguen las prácticas recomendadas. Hemos tenido un siglo para perfeccionar los sistemas de transporte en automóvil, pero seguimos teniendo innumerables accidentes y fatalidades. (¡Démonos prisa en diseñar coches con piloto automático!). A pesar de que no podamos controlar todas las variables, podemos ganar en seguridad gracias a los buenos hábitos y, lentamente pero con seguridad, eso hace que todos estemos más seguros.
Espero que, si está leyendo esta publicación, adopte mejores prácticas de seguridad y sea un ejemplo para quienes estén a su alrededor. Con el paso del tiempo, a medida que el consumidor medio tenga más formación y se vuelva más exigente en términos de privacidad y seguridad, las empresas y los gobiernos responderán con una arquitectura de sistema y unas normativas nuevas y mejores. El resultado será un sistema que funciona de forma sinérgica, en el que los individuos eligen con mayor inteligencia y las instituciones se esfuerzan por asegurar que estas elecciones contribuyan a un mundo digital seguro y transparente.
