Ashley Madison, ¿víctima o responsable?

A photo illustration shows the Ashley Madison website displayed on a smartphone in Toronto

¿Son los supuestos y misteriosos miembros de Impact Team unos activistas que se preocupan por la moralidad y la seguridad de los usuarios o son los responsables de una extorsión en toda regla? ¿Es la matriz de Ashley Madison, la compañía canadiense Avid Life Media, una víctima del ataque o la que ha fallado estrepitosamente en la custodia de los datos más sensibles de sus clientes, que confiaban en su supuesta “seguridad al 100%”?

Con la filtración de información de millones y millones de cuentas de la red social Ashley Madison se ha destapado una cantidad ingente de datos personales -muchos de ellos comprobados como reales– cuyos dueños confiaban en la discreción del servicio. La acción, reivindicada por un oscuro grupo autodenominado Impact Team, ha acaparado la atención mundial, en parte debido a la naturaleza de los datos expuestos: el objetivo que publicita esta red social es facilitar la infidelidad.

En un comunicado, Avid Life Media, sociedad matriz del portal, afirmaba esta semana: “Este evento no es un acto de hacktivismo, es un acto criminal, es una acción ilegal contra los miembros individuales de Ashley Madison, así como contra cualquier empresa que libremente elige participar en actividades en línea totalmente legales”. “El criminal o criminales que participan en este acto se han nombrado a sí mismos jueces, jurados y verdugos de la moralidad […] No vamos a permitir a estos ladrones que impongan su ideología personal sobre ciudadanos de todo el mundo”.

En el otro extremo, los hackers razonaban de otro modo. “¿Se encuentra usted en esta lista?”, pregunta Impact Team a los usuarios que ha colocado bajo el foco publico. Y añade: “Fue Avid Life Media quien le falló y le mintió. Demande y reclame daños y perjuicios. Luego siga adelante con su vida. Aprenda la lección y haga las paces. Será vergonzoso ahora, pero lo superará”.

La información que se puede encontrar en los 9,7 GB de datos filtrados inicialmente (habrá muchos más; en una entrevista los miembros de Impact Team aseguran tener hasta 300 GB de datos internos de la compañía, decenas de miles de fotos ‘íntimas’ de usuarios, contenidos de chats…) profundiza en multitud de detalles personales. La lista es interminable: supuestos nombres, direcciones postales, transacciones con fecha y cantidad, algunas geolocalizaciones, hábitos personales y, de forma extremadamente pormenorizada, las costumbres y tendencias sexuales. Todo ello proporcionado a Ashley Madison por los clientes de la red social.

Suponiendo que toda esa información sea auténtica, “estamos hablando de datos especialmente protegidos, como son las preferencias sexuales”, comenta el abogado especializado en internet Carlos Sánchez Almeida. Efectivamente, en España la Ley Orgánica de Protección de Datos (LOPD) otorga a la información sobre la vida sexual un rango de especial protección.

La letra pequeña

Como en todo servicio, existen unos Términos de Uso que el cliente acepta al darse de alta (pocos los leen, por cierto) y que en el caso de Ashley Madison no garantiza que la información que se proporciona o que ellos recopilan no será divulgada a terceros. Es una especie de salvaguardia frente a las filtraciones.

Samuel Parra y Verónica Alarcón, socios del bufete ePrivacidad, afirman: “En los Términos de Uso una empresa puede poner lo que quiera, pero cualquier tipo de cláusula que sea contraria a la ley se entenderá por no puesta; y algo es contrario a la ley no sólo cuando ésta lo prohíbe, sino también cuando la ley te obliga a hacer algo y tú pactas lo contrario sin cobertura legal”.

“Esto significa , en el caso de Ashley, que esa cláusula concreta en la que dice que no garantiza que la información no vaya a ser divulgada a terceros no la exime de responsabilidad”, añaden. Y concluyen: “Esa cláusula, como si no existiera”.

¿Y la responsabilidad?

Por la vía administrativa: Almeida sostiene que, aunque pudiera existir una infracción de la LOPD, la Agencia de Protección de Datos “poco o nada puede hacer” contra la matriz de Ashley Madison, situada en Canadá. Samuel Parra, sin embargo, no está de acuerdo: “Ashley Madison tiene la obligación y responsabilidad de mantener seguros los datos personales de sus clientes/usuarios; en España, el tema de la seguridad de los datos personales es una obligación legal para cualquier empresa, ya que así lo indica el artículo 9 de la LOPD”.

Recuerda el experto que la compañía tiene oficinas en Nicosia (Chipre), “que es, de hecho, donde se ocupan de la privacidad”. “Un ciudadano español no solo podría exigir responsabilidad por la filtración sino también solicitar a la AEPD que se bloquee el acceso al sitio o sitios web donde han colgado la información personal ilícita extraída”, comenta.

Parra asegura que “Ashley Madison debería hacer todo lo que estuviera en su mano para evitar que terceros no autorizados puedan acceder a la información y en estos casos se suele entender que es una obligación de resultado, de forma que, si al final se difunden datos, se podría entender que no hizo todo lo que estaba en su mano, aunque habría que ver exactamente cómo consiguieron los intrusos esa base de datos”. A su juicio, “esta compañía tendría una responsabilidad administrativa desde el punto de vista de la legislación sobre protección de datos en el caso de que se le aplicasen las leyes españolas”.

Algo parecido le sucedió a la empresa tecnológica Arsys, que en 2007 sufrió un ciberataque que comprometió datos bancarios, teléfonos y domicilios de miles de usuarios españoles. La compañía fue multada por Protección de Datos precisamente por incumplir su deber de custodiar de dicha información.

Por la vía civil: La compañía también podría enfrentarse a una acción civil (o varias), aunque sólo en Canadá. Almeida sostiene que esta acción podría materializarse en una class action o acción colectiva, en la que varios afectados se unen y contratan a un gabinete especializado que lleve su caso.

Por la vía penal: Según Almeida, penalmente sólo se puede actuar contra el o los hackers, es decir, contra el autor de la filtración, salvo que Canadá contemple como delito la negligencia en la custodia de los datos.

En este sentido, Samuel Parra recuerda que “la responsabilidad de los ciberintrusos es de naturaleza distinta: según la información disponible ahora mismo sobre la intrusión, ellos pueden haber cometido un delito de revelación de secretos tipificado en los artículos 197.2 y 197.3 del Código Penal español, con penas de prisión de hasta cinco años”.

‘Derecho al olvido’: no todos podrán salir de Google

keyboard-series-5-1241875-1600x1200

Recientemente, Protección de Datos ha negado el amparo a dos investigados por pertenecer a Gürtel y a ETA, que no podrán salir de Google. El ‘derecho al olvido’, en plena construcción, no es absoluto y debe ponderarse con otros derechos en conflicto, como la libertad de información y expresión. Así lo ha entendido la Audiencia Nacional. 

En octubre de 2014, la Justicia española confirmó, por primera vez, que Google estaba obligado a ocultar informaciones de carácter personal. Fueron muchos los han alertado del peligro que suponía “atacar al mensajero” y compararon las imposiciones a Google con el alzheimer digital, vaticinando que se acabarían destruyendo las hemerotecas.

Avancé entonces que la Justicia estudiaría cada caso concreto, que a veces se obligaría a Google a ocultar los contenidos y que, en ocasiones, se haría lo propio con los medios de comunicación. Y puse ejemplos específicos: la Audiencia Nacional había ordenado a Google excluir una noticia de hace 25 años, pero no se le había obligado a El País a tocar ni una sola coma de la misma noticia.

El derecho al olvido (en plena construcción), no es absoluto y debe ponderarse con otros derechos en conflicto (como la libertad de información y expresión).  Así lo ha entendido recientemente la Audiencia Nacional, que ha confirmado una resolución (PDF) de la Agencia Española de Protección de Datos en la que se le deniega a una persona desaparecer de Google cuando se le vincula con la trama Gürtel.

Según la Audiencia Nacional, no procede reconocer a este ciudadano el ‘derecho al olvido’ porque los hechos que recoge Google continúan teniendo una notable relevancia pública. Se trata de una persona de relevancia pública que sigue imputado que, además, no ha presentado ninguna prueba que acredite que lo que se publica sea falso.

Concluye la Audiencia de forma tajante: “La injerencia en los derechos fundamentales del interesado se encuentra justificada por el interés preponderante de los internautas en tener acceso a la información en una búsqueda que verse sobre el nombre del actor, teniendo la ciudadanía un interés real de conocer dicha información”.

Otro ejemplo

Si hace falta un ejemplo más respecto a las limitaciones del derecho al olvido, conviene dar a conocer otra resolución (PDF) también de la Agencia Española de Protección de Datos, en la que se le deniega a una persona la retirada de informaciones en Google que le vinculaban con ETA.

Dice el texto de la AEPD: “Los datos del reclamante constan en las informaciones publicadas relativas a las detenciones del reclamante y otras personas por casos de kale borroka y delitos de integración en la organización terrorista ETA en febrero de 2012″ y que la detención del reclamante “tuvo lugar como consecuencia de la participación del interesado en campañas de amenazas contra ediles donostiarras del Partido Socialista de EuskadiEuskadiko Ezkerra y del Partido Popular Vasco”.

Pues bien, a pesar de que el reclamante aportó un auto de sobreseimiento libre, Google justificó que la información era de relevancia pública y que se estaba estudiando en otro sumario judicial la pertenencia del reclamante a ETA, por lo que la información no era inexacta.

La AEPD, tras analizar las alegaciones del reclamante y de Google, no ha admitido la retirada de contenidos y ha afirmado que “debe considerarse la trascendencia en el número de personas afectadas, así como la relevancia pública y el interés público que han alcanzado los hechos en cuyo contexto se incluyen sus datos”.

No es descartable que con el paso del tiempo, o con la aportación de nuevas pruebas acerca de su inocencia, estas personas puedan ejercer el derecho al olvido, pero hoy no.

(Foto: Mokra / Freeimages)


Luis Gervas de la Pisa es abogado de Salirdeinternet.com y es el responsable del Código del Derecho al Olvido, publicado por el Boletín Oficial del Estado.


También en EL ESPAÑOL:

 

Lo que es (y lo que no es) el ‘derecho al olvido’

El llamado ‘derecho al olvido’ es la solución propuesta a una de las consecuencias de la digitalización masiva de datos y el irresistible desarrollo de Internet: nunca antes hemos estado tan expuestos en línea.

Broken_keyboard
Foto: Santeri Viinamäki

El llamado ‘derecho al olvido’ es la solución propuesta a una de las consecuencias de la digitalización masiva de datos y el irresistible desarrollo de Internet: nunca antes hemos estado tan expuestos en línea. Es el derecho a impedir la difusión de información personal por internet, incluso si la publicación original es legítima, si ya no tiene relevancia ni interés público.

La expresión ‘derecho al olvido’ proviene de una traducción más o menos afortunada de la expresión del ámbito anglosajón ‘the right to be forgotten’. No es un derecho absoluto: tiene límites como el respeto al derecho a la información, siempre que ésta sea de relevancia pública y veraz. Y en principio no afecta a las publicaciones originales, sólo a su difusión. En concreto, a los buscadores y sus índices.

En realidad, el ‘derecho al olvido’ no es un derecho en sí sino un conjunto de derechos; es parte de una protección mucho más amplia, la protección de los datos personales.

España cuenta con una normativa, la Ley Orgánica de Protección de Datos (LOPD), que desarrolla el artículo 18.4 de la Constitución. Al respecto, se reconocen cuatro derechos ‘personalísimos’, es decir, que sólo los puede ejercer su titular: los de acceso, rectificación, oposición y cancelación. El ‘derecho al olvido’ realmente no incorpora nada nuevo sobre el contenido de estos derechos -que ya estaban reconocidos en España- sino que se entiende como una proyección del derecho de cancelación y el derecho de oposición, dependiendo de cada caso.

Otra cosa son las dificultades que surgen a la hora de aplicar esos derechos en un mundo cada vez más digitalizado. Existe un riesgo de que se generen situaciones contrarias a la libertad de información -la imposibilidad de recuperar información relevante ‘online’-, pero también puede suceder que los ciudadanos se vean indefensos a la hora de construir su identidad digital y de controlar la enorme cantidad de información que habita en la red.

En este sentido, la Agencia Española de Protección de Datos (AEPD), la Sala de lo Contencioso-Administrativo de la Audiencia Nacional -si hay recurso contra la decisión de la citada agencia- y en ultima instancia el Tribunal Supremo son quienes establecen los límites del ‘derecho al olvido’ y el equilibrio que ha de guardar con otros derechos.

2
Foto: Jeff Sheldon / Unsplash

Hace justo un año, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia clave relacionada con el llamado caso Costeja, y que establecía tres criterios para aplicar el llamado ‘derecho al olvido’:

1) Cualquier ciudadano puede dirigirse a un buscador de Internet para que cancele o modifique los datos que ‘indexa’. Normalmente los buscadores son la puerta de entrada a internet para cualquier usuario medio, y en el caso de España es mayoritariamente Google.

2) Los buscadores sí realizan un tratamiento de datos. “La propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos”, dice la sentencia.

3) Se aplica la normativa comunitaria a cualquier buscador que disponga de oficinas en la Unión Europea. En el caso de Google, que como buscador sí realiza un tratamiento de datos, sus filiales en Europa son consideradas “establecimientos”. Aunque la actividad de búsqueda no realiza tratamiento de datos personales en España, el TJUE considera sí se realizan “en el marco de las actividades” de dicho “establecimiento”.

El TJUE consideró que los derechos de los afectados prevalecen sobre el interés económico de los buscadores y sobre el interés de los internautas en acceder a información personal por ese cauce. Pero también reconocía se ha de abordar caso por caso para encontrar un “justo equilibrio”, que depende sobre todo de la naturaleza de los datos, del interés público por que se conozcan y del papel que el afectado desempeñe en la vida pública.

Esta sentencia fue clave para entender cómo se están resolviendo los casos de ciudadanos que ejercen el ‘derecho al olvido’ digital.

Desde el 29 de mayo de 2014, fecha en la que Google puso en marcha una herramienta ‘online’ para facilitar a los ciudadanos la solicitud de retirada de direcciones del índice del buscador, de los resultados de Google para España se han retirado 23.771 enlaces, un 37,5% de las solicitudes.

urls_google

Fuentes de la AEPD informan de que hasta la fecha la Audiencia Nacional ha dictado 72 sentencias en los recursos que se encontraban pendientes de resolución como consecuencia de la decisión del TJUE. En un total de 54 de ellas se ordenó la desindexación de la información a la que se refería el recurso. En 14 ocasiones la Audiencia Nacional estimó el recurso y en 4 de ellas se produjo la estimación parcial.

“A estas cifras hay que sumar que Google ha desistido de 136 recursos que estaban pendientes de resolución”, comentan desde la AEPD, “lo que supone la confirmación de las resoluciones de la Agencia en más de un 90% de los casos que estaban pendientes”.