El "Reglamento General de Protección de Datos" de la Unión Europea, o RGPD, entró en vigor a finales de mayo, con gran fanfarria internacional. Por fin, una organización multilateral está asumiendo seriamente el reto de proteger la privacidad en la era digital. El mosaico de leyes nacionales, que van desde una agresiva protección de la privacidad hasta nada en absoluto, ha sido previsiblemente ineficaz en el mundo de la multijurisdicción en línea. Si bien la reglamentación siempre conlleva riesgos, en los últimos años ha quedado claro que el ciberespacio exige medidas públicas para mantener la seguridad de los usuarios y la responsabilidad de las empresas.

Mantenerse al día con la tecnología contribuirá a su seguridad y privacidad en línea.

En términos generales, el RGPD exige a las empresas que procesan los datos personales de los ciudadanos de la Unión Europea -que pueden incluir todo, desde el nombre y la dirección hasta los datos biométricos- que actualicen sus prácticas para la recopilación, el almacenamiento y la divulgación de estos datos sensibles. Por ejemplo, las organizaciones deben ahora obtener el consentimiento de los consumidores antes de almacenar su información en una base de datos. Por eso es probable que su bandeja de entrada se haya visto inundada por las solicitudes de inclusión voluntaria de todas las empresas cuyos productos y servicios utiliza, ya que casi todas las grandes empresas tienen clientes en la UE. Las empresas también deben notificar a las autoridades reguladoras de la UE en un plazo de 72 horas cuando los datos de los usuarios se hayan visto comprometidos; en los casos en que la infracción sea grave, los clientes deben ser notificados con prontitud. Y si los usuarios quieren tener acceso a sus datos personales en cualquier momento, o quieren eliminarlos bajo la cláusula de "derecho al olvido" del RGPD, las empresas deben cumplirla (siempre que no existan motivos legales para conservar los datos).

Las sanciones por no cumplir estas normas son elevadas. Las empresas pueden ser multadas hasta un cuatro por ciento de sus ingresos anuales globales por las infracciones más graves. De hecho, el primer día de la implementación de la ley, Facebook y Google fueron golpeados con multas de más de cuatro mil millones de dólares cada uno por no actualizar sus políticas de manera sustantiva. La implementación de las protecciones requeridas es una cuestión de trabajo considerable; dependiendo del tamaño de la organización, podría necesitarse un Oficial de Protección de Datos dedicado o incluso todo un departamento. Esto significa grandes costos para las empresas, una de las razones por las que sus críticos llaman a estas regulaciones anti-negocio. Pero para que la civilización en línea florezca, se debe establecer la ley y el orden, al igual que la frontera estadounidense no puede seguir siendo el Salvaje Oeste para siempre.

Dado su alcance y sus mecanismos de aplicación, el RGPD promete tener efectos de gran alcance en las empresas mundiales. La protección de datos se incentivará ahora en las primeras etapas del desarrollo del producto, transformando las tecnologías que llegan al mercado. Las empresas tendrán que ajustar sus estrategias publicitarias dadas las nuevas restricciones a la puesta en común de datos, lo que podría dar lugar a una explosión del marketing influyente y de otros tipos de publicidad de usuario a usuario.

Todo esto es, sin duda, un paso en la dirección correcta, pero no significa que la Unión Europea haya resuelto los problemas de ciberseguridad dentro de sus fronteras ni que haya establecido un plan infalible para el resto del mundo. La transparencia y la rendición de cuentas que el RGPD exige de las empresas será muy importante, pero los consumidores deben seguir desempeñando un papel en la protección de sí mismos. No interprete estas mejoras como un permiso para perder la responsabilidad personal sobre su información. Como digo en cada oportunidad, la educación y la vigilancia son cruciales. En última instancia, ninguna agencia gubernamental, departamento corporativo u organismo legal puede reemplazar a un consumidor informado y proactivo. Conozca sus derechos, comprenda cómo los programas y dispositivos que utiliza interactúan con sus datos y tómese el tiempo necesario para implementar prácticas básicas que lo mantengan a usted y a su información seguros, o al menos tan seguros como sea razonablemente posible.

Quizás el ejemplo más claro de tal práctica es la autenticación de dos factores (2FA) en todas sus cuentas. Sólo se tarda unos minutos en habilitarlo y proporciona un gran salto en seguridad más allá de una única contraseña. Tiene la doble ventaja de dificultar el acceso a las cuentas y hacerlas menos atractivas para los hackers, que a menudo se limitan a pasar a las cuentas sin esta configuración habilitada. Por supuesto, activar 2FA significa que, cada vez que inicie sesión desde un nuevo dispositivo, tendrá que realizar el paso adicional de verificar su identidad, ya sea a través de una aplicación de autenticación, un mensaje de texto (la opción menos segura) o una llave USB física (la más avanzada). Para muchos usuarios, este inconveniente mínimo es razón suficiente para ignorar los riesgos de no usar 2FA. Muchos otros ni siquiera saben que la opción existe. El resultado es que más del noventa por ciento de las cuentas de Gmail no tienen activada la función 2FA.

¿Cómo cambiamos esto? ¿Es simplemente un problema de ignorancia y autocomplacencia, para ser superado por los individuos? Aunque acabo de subrayar la importancia de la responsabilidad personal, también creo en los cambios sistémicos que pueden explotar ciertos aspectos de la psicología humana para mejorar nuestra seguridad colectiva. El RGPD, por su parte, eleva el listón de los impagos por parte de las empresas, pero los impagos de los usuarios finales son igualmente importantes a tener en cuenta. ¿Qué sucede si la autenticación de dos factores es la configuración predeterminada para las cuentas de Gmail? Yendo más allá, ¿qué pasaría si fuera obligatorio? (Esto no sería factible para algunos usuarios, que no tienen acceso a una forma conveniente de autenticarse, pero es un experimento de pensamiento interesante para nuestra conversación.

Las cuentas de correo electrónico corporativas generalmente requieren un nivel de seguridad predeterminado mucho más alto que las cuentas personales porque las empresas tienen un balance de riesgo/conveniencia diferente. Los pilotos de Fórmula Uno emplean características de seguridad mucho más fuertes en sus vehículos que el conductor promedio, aunque técnicamente todos estaríamos más seguros si usáramos cascos y cinturones de seguridad de cinco puntos en nuestros coches. Pero todos usamos cinturones de seguridad hoy en día, o sabemos que deberíamos hacerlo. (Yo mismo aprendí esto por las malas después de un mal golpe en la cabeza este año, que incluso si estás en un atasco yendo a una distancia corta, ¡abróchate el cinturón!

Como mínimo, Google y otros proveedores de servicios podrían informarle de cómo cada configuración que active o desactive afecta a la seguridad de su cuenta. Tal vez incluso podría emitir un puntaje de seguridad general, como cuántos sitios ahora califican las contraseñas en una escala de rojo (Débil) a verde (Fuerte). ¿Esa puntuación simplificaría demasiado las cosas, dándonos una falsa sensación de seguridad, o sería un paso útil hacia la estandarización de la seguridad?

Estas sugerencias pretenden servir como punto de partida para imaginar todas las formas en que podríamos estructurar la experiencia del usuario. Si las regulaciones del tamaño y alcance del RGPD se dirigen a los usuarios finales por defecto, los resultados podrían ser dramáticos. Al igual que en el caso del intercambio de datos, los intereses de las empresas no se alinean necesariamente con los de sus clientes. Cuando el 2FA es la excepción y no la norma, presionar a los consumidores para que lo adopten de forma demasiado agresiva puede llevarles a cambiar de plataforma. Los constantes recordatorios pueden resultar demasiado molestos, o incluso crear la impresión de que la empresa que los emite es propensa a las infracciones de seguridad. Al igual que los bancos se alejaron de los guardias armados y la arquitectura de las fortalezas en sus sucursales, a las empresas en línea no les gusta la seguridad visible porque temen que asuste a los usuarios en lugar de tranquilizarlos. Pero si las normas para la 2FA fueran uniformes y fáciles de usar, habría mucha menos fricción en el camino hacia su adopción generalizada.

Por lo tanto, el enfoque más eficaz es una mezcla de regulación, estandarización y acción individual. Dicho de otra manera, debemos trabajar para reestructurar la arquitectura que guía nuestras decisiones, mientras permanecemos comprometidos a mantenernos seguros dentro de un sistema siempre imperfecto. Quizás, entonces, vale la pena volver a su bandeja de entrada y reabrir algunos de los correos electrónicos que recibió cuando el RGPD entró en vigor. ¿Dedicó tiempo para revisar los términos de servicio actualizados que le enviaron los distintos sitios y programas en los que usted confía? A las organizaciones se les pidió que hicieran esta información más clara y fácil de entender para los consumidores. Pero sigue siendo su responsabilidad tomarse el tiempo para leerlo.

El alcance de la esfera digital en todos los aspectos de nuestras vidas es relativamente nuevo, y llevará algún tiempo que las normas sociales se pongan al día. Sabemos que el uso del hilo dental y el ejercicio son importantes para la salud física; de la misma manera, practicar una buena "ciber-higiene" es esencial para la seguridad en línea. La utopía no está a la vuelta de la esquina, por supuesto. Los dentistas siguen haciendo buenos negocios porque la gente no sigue las mejores prácticas. Hemos tenido un siglo para desarrollar nuestros sistemas de transporte automotor y todavía tenemos incontables accidentes y fatalidades. Pero aunque no podemos controlar todas las variables, podemos hacernos más seguros con buenos hábitos y, lenta pero seguramente, eso nos hace más seguros a todos.

Espero que, si estás leyendo este artículo, ayudes a dar ejemplo a los que te rodean adoptando mejores prácticas de seguridad. Con el tiempo, a medida que el consumidor promedio crece más educado y exige más en términos de privacidad y seguridad, las empresas y los gobiernos responderán con una nueva y mejor arquitectura de sistemas y regulaciones. El resultado será un sistema que funciona sinérgicamente, a medida que los individuos toman decisiones inteligentes, y las instituciones se esfuerzan por garantizar que esas decisiones se traduzcan en un mundo digital seguro y transparente.

Publicado en www.infratech.es el 12-07-2018

Foto de Garry Kasparov

Autor: Garry Kasparov para blog.avast.com

El campeón mundial de ajedrez más joven de la historia en 1985, Garry descubrió por primera vez el potencial de la IA durante sus famosos partidos contra la supercomputadora Deep Blue. Desde entonces, ha hablado sobre la tecnología del futuro, más recientemente como el embajador de seguridad de Avast.