Con la filtración de información de millones y millones de cuentas de la red social Ashley Madison se ha destapado una cantidad ingente de datos personales -muchos de ellos comprobados como reales– cuyos dueños confiaban en la discreción del servicio. La acción, reivindicada por un oscuro grupo autodenominado Impact Team, ha acaparado la atención mundial, en parte debido a la naturaleza de los datos expuestos: el objetivo que publicita esta red social es facilitar la infidelidad.

En un comunicado, Avid Life Media, sociedad matriz del portal, afirmaba esta semana: “Este evento no es un acto de hacktivismo, es un acto criminal, es una acción ilegal contra los miembros individuales de Ashley Madison, así como contra cualquier empresa que libremente elige participar en actividades en línea totalmente legales”. “El criminal o criminales que participan en este acto se han nombrado a sí mismos jueces, jurados y verdugos de la moralidad […] No vamos a permitir a estos ladrones que impongan su ideología personal sobre ciudadanos de todo el mundo”.

En el otro extremo, los hackers razonaban de otro modo. “¿Se encuentra usted en esta lista?”, pregunta Impact Team a los usuarios que ha colocado bajo el foco publico. Y añade: “Fue Avid Life Media quien le falló y le mintió. Demande y reclame daños y perjuicios. Luego siga adelante con su vida. Aprenda la lección y haga las paces. Será vergonzoso ahora, pero lo superará”.

La información que se puede encontrar en los 9,7 GB de datos filtrados inicialmente (habrá muchos más; en una entrevista los miembros de Impact Team aseguran tener hasta 300 GB de datos internos de la compañía, decenas de miles de fotos ‘íntimas’ de usuarios, contenidos de chats…) profundiza en multitud de detalles personales. La lista es interminable: supuestos nombres, direcciones postales, transacciones con fecha y cantidad, algunas geolocalizaciones, hábitos personales y, de forma extremadamente pormenorizada, las costumbres y tendencias sexuales. Todo ello proporcionado a Ashley Madison por los clientes de la red social.

Suponiendo que toda esa información sea auténtica, “estamos hablando de datos especialmente protegidos, como son las preferencias sexuales”, comenta el abogado especializado en internet Carlos Sánchez Almeida. Efectivamente, en España la Ley Orgánica de Protección de Datos (LOPD) otorga a la información sobre la vida sexual un rango de especial protección.

La letra pequeña

Como en todo servicio, existen unos Términos de Uso que el cliente acepta al darse de alta (pocos los leen, por cierto) y que en el caso de Ashley Madison no garantiza que la información que se proporciona o que ellos recopilan no será divulgada a terceros. Es una especie de salvaguardia frente a las filtraciones.

Samuel Parra y Verónica Alarcón, socios del bufete ePrivacidad, afirman: “En los Términos de Uso una empresa puede poner lo que quiera, pero cualquier tipo de cláusula que sea contraria a la ley se entenderá por no puesta; y algo es contrario a la ley no sólo cuando ésta lo prohíbe, sino también cuando la ley te obliga a hacer algo y tú pactas lo contrario sin cobertura legal”.

“Esto significa , en el caso de Ashley, que esa cláusula concreta en la que dice que no garantiza que la información no vaya a ser divulgada a terceros no la exime de responsabilidad”, añaden. Y concluyen: “Esa cláusula, como si no existiera”.

¿Y la responsabilidad?

Por la vía administrativa: Almeida sostiene que, aunque pudiera existir una infracción de la LOPD, la Agencia de Protección de Datos “poco o nada puede hacer” contra la matriz de Ashley Madison, situada en Canadá. Samuel Parra, sin embargo, no está de acuerdo: “Ashley Madison tiene la obligación y responsabilidad de mantener seguros los datos personales de sus clientes/usuarios; en España, el tema de la seguridad de los datos personales es una obligación legal para cualquier empresa, ya que así lo indica el artículo 9 de la LOPD”.

Recuerda el experto que la compañía tiene oficinas en Nicosia (Chipre), “que es, de hecho, donde se ocupan de la privacidad”. “Un ciudadano español no solo podría exigir responsabilidad por la filtración sino también solicitar a la AEPD que se bloquee el acceso al sitio o sitios web donde han colgado la información personal ilícita extraída”, comenta.

Parra asegura que “Ashley Madison debería hacer todo lo que estuviera en su mano para evitar que terceros no autorizados puedan acceder a la información y en estos casos se suele entender que es una obligación de resultado, de forma que, si al final se difunden datos, se podría entender que no hizo todo lo que estaba en su mano, aunque habría que ver exactamente cómo consiguieron los intrusos esa base de datos”. A su juicio, “esta compañía tendría una responsabilidad administrativa desde el punto de vista de la legislación sobre protección de datos en el caso de que se le aplicasen las leyes españolas”.

Algo parecido le sucedió a la empresa tecnológica Arsys, que en 2007 sufrió un ciberataque que comprometió datos bancarios, teléfonos y domicilios de miles de usuarios españoles. La compañía fue multada por Protección de Datos precisamente por incumplir su deber de custodiar de dicha información.

Por la vía civil: La compañía también podría enfrentarse a una acción civil (o varias), aunque sólo en Canadá. Almeida sostiene que esta acción podría materializarse en una class action o acción colectiva, en la que varios afectados se unen y contratan a un gabinete especializado que lleve su caso.

Por la vía penal: Según Almeida, penalmente sólo se puede actuar contra el o los hackers, es decir, contra el autor de la filtración, salvo que Canadá contemple como delito la negligencia en la custodia de los datos.

En este sentido, Samuel Parra recuerda que “la responsabilidad de los ciberintrusos es de naturaleza distinta: según la información disponible ahora mismo sobre la intrusión, ellos pueden haber cometido un delito de revelación de secretos tipificado en los artículos 197.2 y 197.3 del Código Penal español, con penas de prisión de hasta cinco años”.