Por Carolina De Seta ✍️
En una sociedad donde la tecnología avanza más rápido que la capacidad legislativa, nos enfrentamos a un dilema: ¿puede el derecho informático seguir el ritmo de las amenazas cibernéticas que nos rodean? Aunque las leyes buscan ofrecen un marco protector, las lagunas legales y la insuficiencia en la implementación de medidas técnicas nos dejan expuestos.
¿Qué es el derecho informático?
El derecho informático es una rama del derecho que regula el uso de las tecnologías de la información y la comunicación, cubriendo desde la protección de datos personales y privacidad hasta la regulación de delitos informáticos y propiedad intelectual digital. Este campo se enfrenta constantemente al desafío de adaptarse a la velocidad con la que evoluciona la tecnología, creando nuevas áreas de vulnerabilidad. Por esta razón, es crucial para los profesionales del área y, como así también, en el ámbito de ciberseguridad.
Como bien se mencionó, el derecho informático abarca varias partes, en éste artículo nos centraremos en los datos personales y los datos sensibles. Cuando hablamos de datos personales, nos referimos a aquellos que identifican a la persona como su nombre, D.N.I., estado civil, entre otros. En cambio, los datos sensibles son un subgrupo donde en Argentina desde el año 2000 hizo la distinción en estas dos categorías. Para aclarar, los datos sensibles son: datos de biometría, de salud, étnicos, de preferencia sexual, de afiliación politica, sindical y religiosa. Con este tipo hay que tener mayor precaución y cuidado debido a que la persona debe dar consentimiento y autorización antes de entregarlos ya que no es información pública.
En Argentina, existe la Ley de Privacidad que surge del articulo 19 de la Constitución Nacional que habla sobre el principio de privacidad. A partir de esta ley, surgen los Derechos Personales con el propósito de identificar a la persona física. A su vez, también la GRDP (Reglamento General de Protección de Datos) por parte de la Unión Europea tiene influencia en el territorio argentino.
“Las acciones privadas de los hombres que de ningún modo ofenda al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios, y extensas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe” – Art.19
Aunque la Ley de Protección de Datos Personales en Argentina y el GDPR en la Unión Europea ofrecen un marco sólido, no logran cubrir todas las situaciones actuales. Por ejemplo, los ataques transnacionales y el uso indebido de tecnologías emergentes como la inteligencia artificial o los datos biométricos aún no tienen una cobertura legal adecuada. Esto crea una zona gris que muchas empresas y ciberdelincuentes explotan.
Por esto, a pesar de los avances en el derecho informático, muchas leyes nacionales e internacionales aún no logran cubrir adecuadamente las amenazas cibernéticas más recientes, como el ransomware y el phishing. Un claro ejemplo de estas lagunas se encuentra en la jurisdicción internacional: ¿qué ocurre cuando un ataque cibernético proviene de un país cuya legislación no se alinea con las leyes locales de protección de datos? Este vacío deja a las víctimas sin un marco legal claro para defenderse.
¿Por qué es tan relevante la Protección de los Datos?
Un ejemplo de como esto afecta, fue con la empresa Google en 2019 cuando recibió una multa de €50 millones por no proporcionar suficiente transparencia en el manejo de datos de los usuarios y no obtener un consentimiento adecuado, recibida por parte de la Comisión Nacional de Informática y Libertades (CNIL) de Francia. Si bien este caso no fue una brecha de seguridad, resalta la importancia de tener claras las políticas de protección de datos, que incluyan el cifrado y controles de acceso como medida de protección para los datos sensibles. Esto demuestra que si bien las leyes tienen sus vacíos, no dejan de tener un peso importante. Por ende, debemos conocerlas y utilizarlas a nuestro favor.
Medidas a tener en cuenta
- El cifrado es una medida técnica clave para proteger los datos sensibles, tanto durante la transmisión como en reposo. Al cifrar los datos, se asegura que, incluso si un atacante obtiene acceso a ellos, no pueda leerlos sin las claves de descifrado. Desde un punto de vista legal, más allá de ser una práctica de seguridad crucial, es una obligación legal en muchas jurisdicciones. Normativas como el GDPR consideran el cifrado como una herramienta clave para la protección de datos personales. La falta de implementación de esta medida técnica no solo aumenta el riesgo de ciberataques, sino que puede derivar en sanciones por negligencia.
- Establecer controles estrictos sobre quién puede acceder a qué información es otra medida crucial. Los controles de acceso basados en roles (RBAC) aseguran que solo los empleados con un nivel de autorización adecuado puedan ver o modificar datos sensibles. Legalmente, las empresas están obligadas a limitar el acceso a datos sensibles a las personas que realmente lo necesitan para su trabajo. La falta de controles de acceso adecuados puede resultar en sanciones por no cumplir con las normas de protección de datos, ya que incrementa el riesgo de filtraciones o accesos no autorizados.
En conclusión, el derecho informático y la ciberseguridad deben avanzar de manera coordinada para enfrentar los desafíos del mundo digital. Sin embargo, mientras persistan las lagunas legales y la falta de implementación de medidas técnicas, las empresas y los individuos seguirán expuestos a riesgos crecientes. Es imperativo que las leyes se adapten a los nuevos escenarios tecnológicos y que tanto empresas como usuarios tomen un rol activo en la protección de sus datos. Solo con una sinergia efectiva entre lo legal y lo técnico podremos construir un entorno digital más seguro.