Ciberseguridad sin atacar la privacidad

La privacidad y la confianza entre estados son los únicos pilares que pueden sustentar una estrategia creíble de ciberseguridad. Así lo defiende el Supervisor Europeo de Protección de Datos (SEPD), que alerta sobre las deficiencias de la estrategia de la UE en esta materia, y llama la atención para que la seguridad informática no se convierta en una excusa para controlar ilimitadamente la información personal de los ciudadanos.

Redes sociales anuncio
Anuncio redes sociales / Foto: Youtube

El Supervisor Europeo de Protección de Datos (SEPD), organismo que se encarga de la protección de datos personales en la Unión Europea, acaba de publicar su valoración sobre la estrategia de Seguridad Cibernética de la Unión Europea. El SEPD asegura que, el esfuerzo común por reforzar los principios de protección de datos y la política de seguridad informática, es una muy buena noticia, aunque «la estrategia no es clara en cuanto a cómo se aplicarán estos principios en la práctica para garantizar la seguridad de las personas, empresas, gobiernos y organizaciones».

El 7 de febrero de 2013, la Comisión y la Alta Representante de la Unión Europea para Asuntos Exteriores y Política de Seguridad, remitieron al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones un informe sobre la estrategia de Seguridad Cibernética de la UE para crear un ciberespacio abierto, seguro y protegido. Ese mismo día, la Comisión adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en toda la Unión y la envió al SEPD.

El máximo organismo responsable de la supervisión y protección de los datos personales de los ciudadanos europeos acaba de publicar su valoración . «No hay seguridad sin intimidad, así que estoy encantado de que la estrategia de la UE reconozca que no se trata de colocar enfrentadas la vida privada de la seguridad cibernética, sino más bien de que la privacidad y la protección de datos sean los principios que guíen la seguridad informática. Sin embargo, la estrategia no refleja la forma en que se llevará a cabo. Reconocemos que la seguridad cibernética debe abordarse a nivel internacional, a través de normas y cooperación internacionales. No obstante, si la UE quiere cooperar con otros países, incluyendo los EE.UU., debe ser necesariamente sobre la base de la confianza mutua y el respeto de los derechos fundamentales, requisitos que en la actualidad parecen comprometidos», ha asegurado Peter Hustinx, Supervisor Europeo de Protección de Datos.

Para el SEPD, las medidas para garantizar la seguridad cibernética pueden requerir el análisis de algunos datos personales de los ciudadanos, por ejemplo, las direcciones IP consultadas por algún individuo específico. Sin embargo, la seguridad informática debe garantizar la protección de los derechos de privacidad y protección de datos, es decir que el tratamiento de estos datos sea proporcionado, necesario y lícito y aseguran los expertos, en la estrategia no se explica cómo se van a compaginar.

En la valoración del SEPD se subraya la ausencia de mención en la estrategia de las entidades nacionales de protección de datos (APD) y su posible colaboración con agencias a nivel europeo (Europol, ENISA,...). Según el Supervisor, las entidades nacionales juegan un papel determinante en garantizar la seguridad en el tratamiento de datos personales y en hacer cumplir las reglas que se aplican a las personas y las organizaciones de los países de la UE y deben servir de enlace con las agencias europeas.

El Supervisor Europeo de Protección de Datos es una autoridad de control independiente dedicada a la protección de los datos personales y de la intimidad y a la promoción de buenas prácticas en las instituciones y órganos de la UE. Lo hace a través de la supervisión de datos personales de la administración de la UE, el asesoramiento sobre políticas y leyes que afectan a la privacidad y la cooperación con las autoridades análogas para garantizar una protección de datos consistente.

En la UE rige el Reglamento (CE) n º 45/2001 sobre protección de datos, que se basa en dos principios fundamentales:

- El responsable del tratamiento de datos debe respetar una serie de obligaciones pero la más importante, sin duda, es que los datos personales sólo pueden ser procesados por una razón específica y legítima que debe indicarse en el momento en que se recogen la información.

- La persona cuyos datos se tratan - el interesado - disfruta de una serie de derechos exigibles entre los que se encuentra, por ejemplo, el derecho a ser informado sobre el proceso y el derecho a corregir los datos.

Dentro del reglamento se especifica claramente a qué se refiere cada término.

Cuando se habla de información personal o datos, se refiere a toda información sobre una persona física identificada o identificable. Los ejemplos incluyen nombres, fechas de nacimiento, fotografías, direcciones de correo electrónico y números de teléfono. Otros detalles, como los datos de salud, los datos de tráfico, el uso del teléfono, correo electrónico o Internet también se consideran datos de carácter personal.

Al hablar de privacidad, el SEPD se refiere al derecho de toda persona a estar solo y al control de la información acerca de esa persona. El derecho a la intimidad o vida privada está consagrado en la Declaración Universal de los Derechos Humanos (artículo 12), el Convenio Europeo de Derechos Humanos (artículo 8) y la Carta Europea de Derechos Fundamentales (artículo 7). La Carta también contiene un derecho explícito a la protección de datos personales (artículo 8).

Por Privacidad se refiere a buscar la intimidad y protección de datos a través del diseño y la arquitectura de sistemas y tecnologías de la información y la comunicación, con el fin de facilitar el cumplimiento de los principios de privacidad y protección de datos.

La Limitación de la finalidad defiende que la información personal puede ser recopilada con fines determinados, explícitos y legítimos. Una vez que se obtiene, no se puede procesar posteriormente de manera incompatible con dichos fines. El principio está diseñado para proteger a las personas, al limitar el uso de su información a efectos predefinidos, excepto bajo condiciones estrictas y con las debidas garantías.

Si estos mecanismos fallan, puede provocarse la Violación de los datos, es decir, que los datos personales en poder de un organismo (generalmente un proveedor de telecomunicaciones) son accidental o deliberadamente perdidos, robados, destruidos, cambiados, consultados o revelados.