?Qui¨¦n responde si me roban mis datos o archivos en Internet?

En algunos aparcamientos todav¨ªa puede verse un cartel que dice, m¨¢s o menos: ¡°La empresa no se hace responsable de los robos o da?os en los veh¨ªculos¡±. Digo en algunos, porque la ley y el Tribunal Supremo han establecido que las empresas que gestionan los aparcamientos s¨ª son responsables, salvo fuerza mayor, y tienen un deber de vigilancia y custodia,¡­ aunque algunas no quieran enterarse.

Algo parecido ocurre cuando aparcamos nuestros datos y archivos en una empresa que nos proporciona ¡°almacenamiento en la nube¡± (como Dropbox, Amazon Drive, One Drive de Microsoft o Google Drive). Por cierto, para los que todav¨ªa crean en nubes, arcoiris y unicornios, en el maravilloso mundo digital, siento decirles que las nubes no existen: son servidores¡­ de otros.

No siempre que haya un robo de datos ser¨¢ responsable la empresa que los almacena o los trata

Esta reflexi¨®n viene al hilo de la reciente noticia sobre el?hackeo de 60 millones de cuentas de Dropbox, producido en 2012 pero conocido ahora, y no olvidemos otros casos, como el robo (y filtraci¨®n) de algunas fotos de famosas que estaban almacenadas en los servidores de Apple o el caso -a¨²n m¨¢s delicado- del robo y publicaci¨®n de los datos de los usuarios de Ashley Madison (la plataforma de citas para ¡°infieles¡±), que deriv¨® en chantajes.

?Qu¨¦ ocurre en Espa?a?

La Ley Org¨¢nica de Protecci¨®n de Datos (art. 9.1) dice que las empresas deben adoptar las medidas necesarias que garanticen la seguridad de los datos y eviten su alteraci¨®n, p¨¦rdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnolog¨ªa, la naturaleza de los datos almacenados y los riesgos a que est¨¢n expuestos, ya vengan de la acci¨®n humana o del medio.

Y contempla como infracci¨®n grave (art. 44.3.h) ¡°mantener los ficheros, locales, programas o equipos que contengan datos de car¨¢cter personal sin las debidas condiciones de seguridad¡±. Esta infracci¨®n grave puede ser sancionada con multa de 40.001 a 300.000 euros (art. 45.2). Las ¡°debidas condiciones¡± y las medidas de seguridad que deben cumplir se regulan en el Reglamento de la LOPD (T¨ªtulo VIII).

Todo esto quiere decir que no siempre que haya un robo de datos ser¨¢ responsable la empresa que los almacena o los trata, sino s¨®lo cuando no haya adoptado dichas medidas de seguridad. O sea, que, aunque se haya producido un robo de datos o de archivos por unos?crackers¡± (que no son lo mismo que los hackers), la empresa puede librarse de la sanci¨®n si demuestra que ha actuado diligentemente.

?Qu¨¦ ocurre con una empresa de fuera de Espa?a?

En general, el principio de aplicaci¨®n de las leyes es el de ¡°territorialidad¡±. Es decir, las leyes espa?olas se aplican a las empresas que est¨¢n establecidas en Espa?a y no se aplican a las empresas de fuera, aunque den servicio a usuarios espa?oles.

En particular, la LOPD (art. 2) no se aplica cuando la empresa no est¨¢ establecida en Espa?a o en la Uni¨®n Europea y no utiliza, para el tratamiento de datos, medios situados en territorio espa?ol, como ocurre con la mayor¨ªa de las empresas citadas.

Es complicado exigir responsabilidad a empresas de EE UU, que se someten a las leyes y a los tribunales de su pa¨ªs

Por lo tanto, es complicado exigir responsabilidad -por el robo de datos o archivos- a empresas de EE UU, que se someten a las leyes y a los tribunales de su pa¨ªs, pues habr¨ªa que presentar las reclamaciones all¨ª, con abogados estadounidenses.

No obstante, algunas multinacionales estadounidenses s¨ª tienen filiales europeas (establecidas en alg¨²n pa¨ªs de la Uni¨®n Europea y sometida a las leyes y tribunales europeos), frente a las que s¨ª cabr¨ªa presentar una reclamaci¨®n en Espa?a o la UE.

Pero tambi¨¦n hay empresas espa?olas que prestan servicios de almacenamiento en la nube, y que est¨¢n sujetas a la LOPD y a los tribunales espa?oles; por lo que conviene pensar con qui¨¦n se contrata esos servicios y sopesar los pros y contras.

Responsabilidad viene de responder

Responsabilidad viene de responder, y la seguridad jur¨ªdica, que va m¨¢s all¨¢ de la seguridad tecnol¨®gica, no consiste en impedir que sucedan los robos o da?os (de eso se ocupa la seguridad tecnol¨®gica), sino en saber qui¨¦n responde, si suceden.

Hay que avanzar hacia normas comunes y ¡°est¨¢ndares m¨ªnimos¡± internacionales para la protecci¨®n de los datos personales en internet, y hacia sistemas tambi¨¦n internacionales de responsabilidad y de resoluci¨®n de conflictos.

Dicho lo cual, si una multinacional no responde voluntariamente ante sus usuarios en cualquier parte del mundo y se ampara en la no sujeci¨®n a las normas y a los tribunales nacionales, estar¨¢ cavando su tumba (comercial) en esos pa¨ªses.