Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
ANÁLISIS

¿Quién responde si me roban mis datos o archivos en Internet?

El robo de contraseñas en Dropbox, producido en 2012 pero conocido ahora, es el último caso que pone de manifiesto la desprotección de los usuarios respecto a las empresas que tienen sede en EE UU

En algunos aparcamientos todavía puede verse un cartel que dice, más o menos: “La empresa no se hace responsable de los robos o daños en los vehículos”. Digo en algunos, porque la ley y el Tribunal Supremo han establecido que las empresas que gestionan los aparcamientos sí son responsables, salvo fuerza mayor, y tienen un deber de vigilancia y custodia,… aunque algunas no quieran enterarse.

Algo parecido ocurre cuando aparcamos nuestros datos y archivos en una empresa que nos proporciona “almacenamiento en la nube” (como Dropbox, Amazon Drive, One Drive de Microsoft o Google Drive). Por cierto, para los que todavía crean en nubes, arcoiris y unicornios, en el maravilloso mundo digital, siento decirles que las nubes no existen: son servidores… de otros.

No siempre que haya un robo de datos será responsable la empresa que los almacena o los trata

Esta reflexión viene al hilo de la reciente noticia sobre el hackeo de 60 millones de cuentas de Dropbox, producido en 2012 pero conocido ahora, y no olvidemos otros casos, como el robo (y filtración) de algunas fotos de famosas que estaban almacenadas en los servidores de Apple o el caso -aún más delicado- del robo y publicación de los datos de los usuarios de Ashley Madison (la plataforma de citas para “infieles”), que derivó en chantajes.

¿Qué ocurre en España?

La Ley Orgánica de Protección de Datos (art. 9.1) dice que las empresas deben adoptar las medidas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya vengan de la acción humana o del medio.

Y contempla como infracción grave (art. 44.3.h) “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”. Esta infracción grave puede ser sancionada con multa de 40.001 a 300.000 euros (art. 45.2). Las “debidas condiciones” y las medidas de seguridad que deben cumplir se regulan en el Reglamento de la LOPD (Título VIII).

Todo esto quiere decir que no siempre que haya un robo de datos será responsable la empresa que los almacena o los trata, sino sólo cuando no haya adoptado dichas medidas de seguridad. O sea, que, aunque se haya producido un robo de datos o de archivos por unos crackers” (que no son lo mismo que los hackers), la empresa puede librarse de la sanción si demuestra que ha actuado diligentemente.

¿Qué ocurre con una empresa de fuera de España?

En general, el principio de aplicación de las leyes es el de “territorialidad”. Es decir, las leyes españolas se aplican a las empresas que están establecidas en España y no se aplican a las empresas de fuera, aunque den servicio a usuarios españoles.

En particular, la LOPD (art. 2) no se aplica cuando la empresa no está establecida en España o en la Unión Europea y no utiliza, para el tratamiento de datos, medios situados en territorio español, como ocurre con la mayoría de las empresas citadas.

Es complicado exigir responsabilidad a empresas de EE UU, que se someten a las leyes y a los tribunales de su país

Por lo tanto, es complicado exigir responsabilidad -por el robo de datos o archivos- a empresas de EE UU, que se someten a las leyes y a los tribunales de su país, pues habría que presentar las reclamaciones allí, con abogados estadounidenses.

No obstante, algunas multinacionales estadounidenses sí tienen filiales europeas (establecidas en algún país de la Unión Europea y sometida a las leyes y tribunales europeos), frente a las que sí cabría presentar una reclamación en España o la UE.

Pero también hay empresas españolas que prestan servicios de almacenamiento en la nube, y que están sujetas a la LOPD y a los tribunales españoles; por lo que conviene pensar con quién se contrata esos servicios y sopesar los pros y contras.

Responsabilidad viene de responder

Responsabilidad viene de responder, y la seguridad jurídica, que va más allá de la seguridad tecnológica, no consiste en impedir que sucedan los robos o daños (de eso se ocupa la seguridad tecnológica), sino en saber quién responde, si suceden.

Hay que avanzar hacia normas comunes y “estándares mínimos” internacionales para la protección de los datos personales en internet, y hacia sistemas también internacionales de responsabilidad y de resolución de conflictos.

Dicho lo cual, si una multinacional no responde voluntariamente ante sus usuarios en cualquier parte del mundo y se ampara en la no sujeción a las normas y a los tribunales nacionales, estará cavando su tumba (comercial) en esos países.

Borja Adsuara es profesor, abogado, consultor y experto en derecho y estrategia digital.

Más información