Es cierto que la nueva ley de protección de datos (RGPD, o GDPR en inglés) ofrece una mayor protección a los usuarios europeos. Y que sus ventajas tendrán un impacto muy positivo en la forma en que los europeos usamos Internet.
Cierto es también, que estas medidas eran necesarias desde hace tiempo, pues la credibilidad en la red y la seguridad de los datos personales se ha ido convirtiendo, a lo largo de los años, en un incómodo talón de Aquiles.
Pero por otro lado también habrá consecuencias inesperadas…
Efectos secundarios en los que nadie había pensado. Y sus efectos pueden ser nefastos; de hecho, algunos de ellos no se han hecho esperar:
Obstrucción a la justicia
La policía judicial de todo el mundo ha estado utilizando durante años el famoso WHOIS. WHOIS es un protocolo que permite obtener información sobre el propietario de un recurso de Internet, sea un sitio web, una base de datos, etc.
Pues bien, con la nueva ley el WHOIS ha dejado de ser legal. Y aunque la ICANN (Internet Corporation for Assigned Names and Numbers) ha solicitado una prórroga para desarrollar una nueva versión del protocolo, su potencial desaparición supondría un duro golpe para la justicia, pues perderían una de las herramientas más potentes para combatir el cyber-crimen.
Cyberextorsión
Otro daño colateral del RGPD es el aumento de la extorsión cibernética. Consiste en que las empresas pueden ser chantajeadas por delincuentes cibernéticos que han logrado vulnerar sus sistemas de protección de datos, exponiendo así ante las autoridades las debilidades de su cumplimiento de la nueva ley europea.
La multa a la que una empresa se enfrenta por incumplimiento del Reglamento General de Protección de Datos puede ascender hasta los 20 millones de euros. No pocas empresas cederían rápidamente ante tamaño chantaje: sin ir más lejos, Uber acabó «comprando el silencio» de unos hackers que rompieron sus sistemas de seguridad (aunque al final no sirvió de nada, claro).
Freno para Blockchain
Casi todos los expertos legales coinciden: el Blockchain y el RGPD son irreconciliables. Las tecnologías de registro distribuido (DLT, distributed ledger technology) están creando una gran tensión en la comunidad legal, ya que la aplicación del RGPD anularía algunos principios de funcionamiento de estas tecnologías (almacenamiento, análisis de datos, etc). Además la falta de restricciones geográficas no haría sino agravar este problema.
Así pues, blockchain y otras DLT van, en ese sentido, muy por delante de la ley.
Freno para IoT (Internet of Things)
El Internet de las Cosas es una tecnología que también ha chocado frontalmente con el RGPD, pues también abre la puerta a una recopilación pasiva y masiva de datos personales. Ya hablamos en otro artículo de lo fácil que resulta identificar a una persona unívocamente utilizando un par de parámetros… El concepto de «anonymized data» es, todavía, una contradicción en sí mismo; y para la RGPD es, por lo tanto, una tecnología inadmisible.
Vientos de cambio algo huracanados
La transición impuesta por el RGPD va a ser difícil, pues todavía hay mucho trabajo por hacer. Quizás el camino esté sembrado de multas, problemas de ingeniería y peligros cibernéticos. Pero por otra parte también ofrece a las empresas la oportunidad de analizar su estrategia de datos, lo que se traducirá en un mayor higiene y control sobre los datos sensibles.
A raíz de amenazas a gran escala como WannaCry y ExPetr, las empresas son más conscientes que nunca de la constante amenaza que se cierne sobre la red, de lo vulnerable que es cualquier base de datos conectada a la red de redes.
Las organizaciones deben, por tanto, hacer todo cuanto esté en su mano por adaptarse a la nueva ley y protegerse tanto de infracciones como de extorsiones. Desde el 25 de mayo de 2018 la protección de los datos, sean cuales sean sus efectos colaterales, ha dejado de ser una opción.
En cuanto a WHOIS, Blockchain e IoT, va a ser necesaria una alianza multidisciplinar entre políticos, ingenieros y juristas (interesante tropa) para hallar una solución de compromiso. Desde mi punto de vista, esta solución pasará probablemente por una revisión del reglamento general de protección de datos. Después de todo, dicen que toda regla tienen su excepción.
¡Veremos!
Escribir un comentario