Análisis del caso Ashley Madison y su impacto en la privacidad

Publicado en Confilegal. 27 de agosto de 2015.

Millones de datos personales e información privada de usuarios de la página de contactos Ashley Madison veían la luz tras el ataque sufrido por parte de un grupo de hackers denominado Impact Team. Este hecho de consecuencias difícilmente cuantificables pone de manifiesto los riesgos para la privacidad a los que cualquier usuario se expone en Internet, unos riesgos que se agravan teniendo en cuenta el objeto de Ashley Madison era constituirse en “la página de contactos más importante a nivel mundial en encuentros discretos para gente casada”.

Poco a poco vamos conociendo más información sobre el alcance del hackeo y la divulgación de la información. En diferentes medios ya han sido publicadas cifras de usuarios, tanto en España (Madrid 135.294, Barcelona 68.513, Murcia 30.000, o Zaragoza 18.135), como a nivel internacional (Sao Paulo 374.554, Nueva York 268.247, Londres 179.129, o Bogotá 123.559).

Paralelamente, se han dado a conocer informaciones relativas a las direcciones de correo electrónico utilizadas por los usuarios durante el proceso de alta. Algunos medios hablan de más de 15.000 cuentas registradas con correos electrónicos del Gobierno de Estados Unidos, las Fuerzas Armadas estadounidenses, el Senado y la Casa Blanca, además de direcciones de carácter corporativo de importantes multinacionales o instituciones.

Estos hechos ponen de manifiesto la necesidad de analizar los diferentes riesgos asociados y las consecuencias de los mismos, no sólo para los propios usuarios de la página web, sino para su entorno personal y familiar, e incluso para las propias empresas e instituciones en las que prestan sus servicios.

Conforme con la normativa española de protección de datos, de encontrarse bajo su ámbito de aplicación ¿qué nivel de seguridad debería aplicarse a los datos tratados en la página web?

Debe tenerse en cuenta que, conforme a la política de privacidad de Ashley Madison, los datos que el usuario facilita pueden ser utilizados para entregarle publicidad dirigida y ofertas promocionales procedentes de compañías externas que tienen la máxima relevancia con respecto a su perfil demográfico” lo que evidencia el uso de técnicas de segmentación y profiling para facilitar información de carácter comercial o publicitario. En este sentido, de conformidad con la normativa española, este uso de los datos conllevaría la aplicación de las medidas establecidas para el nivel medio de seguridad. A mayor abundamiento, atendiendo al tipo de información que el propio usuario puede compartir, teniendo en cuenta que de esta se pueden derivar informaciones sobre sus gustos o tendencias sexuales (datos considerados como especialmente protegidos), debería elevarse la exigencia de seguridad, aplicándose además las medidas que corresponden al nivel alto.

Por último, es importante tener en cuenta que junto al propio dato tal y como lo entendemos, existe información generada por el propio usuario que sin ser en sí misma dato personal, podría encuadrarse por su interpretación en bloque con el resto de información de carácter personal, dentro de la definición que nuestra Ley Orgánica 15/1999, de protección de datos da al dato de carácter personal (cualquier información concerniente a personas físicas identificadas o identificables), haciendo posible delimitar los gustos, tendencias o hábitos (sociales, laborales, económicos, entre otros) de cualquier usuario. Una realidad que se pone de manifiesto en tratamientos masivos de datos (Big Data) y su análisis posterior.

¿Cumpliría la política de privacidad de Ashley Madison con la normativa española de protección de datos?

Este tipo de hechos y filtraciones de datos personales e informaciones confidenciales de usuarios pone de manifiesto la necesidad de recordar que la mejor defensa de la privacidad pasa por tomar medidas y realizar comprobaciones previas al registro en una determinada web. Uno de los pasos recomendables es revisar la política de privacidad del prestador de servicios y constatar si aporta garantías suficientes.

En concreto, si analizamos la política de privacidad de Ashley Madison, siempre desde la óptica de la normativa española en materia de protección de datos, encontramos diferentes afirmaciones tales como: “Además, a menos que se borre del registro, de vez en cuando podemos compartir y/o vender IIP acerca de nuestros usuarios (como sus direcciones de correo ordinario o correo electrónico) con terceros seleccionados, de modo que puedan ofrecer bienes y servicios que pensamos que puedan resultar interesantes o beneficiosos a nuestros usuarios”.

Desde el prisma de nuestra Ley Orgánica de protección de datos, los Responsables del Fichero sujetos a la norma, deben obtener el consentimiento de los usuarios para llevar a cabo cesiones/comunicaciones de datos, mediando el preceptivo deber de información, cuestión que no se daría en el texto citado (que se encuentra recogido en el apartado “Terceros de Confianza” de la Política de Privacidad, accesible a través de ña página web y consultada en el momento de la elaboración del presente artículo), donde no se hace indicación de los sectores de actividad en que  los “terceros de confianza” actúan, o qué clase de servicio prestan, así como tampoco  se establece un mecanismo para consentir en la cesión de los datos.

En relación a la conservación, bloqueo o eliminación de los datos de carácter personal, si bien la política de privacidad recoge que “Conservaremos la información que nos ha proporcionado mientras su Perfil de anuncio permanezca activo u oculto o conforme nos permitan las leyes locales aplicables”, el ataque informático puso de manifiesto que, pese a que los datos habían sido cancelados y por tanto eliminados, las direcciones e información era conservada. Debe recordarse que la información puede permanecer bloqueada en caso de que exista una norma que obligue a su custodia a disposición de los Juzgados o Administración con competencia en la materia, no obstante, este aspecto y fundamentación no aparecen especificado en la política analizada.

Estos aspectos, así como otros referentes al mecanismo de cancelación de datos (actualmente modificado en la web), el tipo de consentimiento para la recepción de comunicaciones comerciales (sin mecanismo para oponerse al tratamiento de los datos con dicha finalidad) con independencia de la normativa aplicable, deben hacer replantearse al usuario la fiabilidad y compromiso con la privacidad del prestador de servicios, y por tanto la seguridad de su información. En este sentido, es importante que los usuarios lean detenidamente los términos y condiciones de uso, así como las políticas de privacidad, o  cualquier otro texto o aviso legal, antes de darse de alta y hacer uso de servicios a través Internet, donde además de información especialmente protegida, comparten otros datos de especial relevancia, como información relativa a medios de pago, por ejemplo.

Tomando el lema de la página web hackeada, podemos concluir este análisis con una máxima que debe regir la utilización de internet, redes sociales y el uso que hacemos de nuestros propios datos personales: “life is short, protect your privacy”.

¿Cómo afecta el comportamiento de los usuarios de la página web de Ashley Madison a las empresas o instituciones en que trabajan?

Debemos tener en cuenta que el hackeo de Ashley Madison y la posterior publicación de las direcciones de e-mail con las que los usuarios se habían dado de alta, puede afectar a las empresas o instituciones en las que éstos prestan sus servicios, teniendo en cuenta que un porcentaje de los usuarios habían utilizado direcciones corporativas. En este sentido, diferentes medios se han hecho eco de la aparición de e-mails provenientes de empleados o colaboradores de prestigiosas universidades, consultoras, prestadores de servicio en Internet, entre otros.

Ante este hecho debemos tener en cuenta dos aspectos: en primer lugar las posibles repercusiones que pueden tener para los usuarios la utilización de medios corporativos con fines claramente personales. Cada vez es más frecuente la adopción por parte de las empresas de políticas de uso de medios tecnológicos en las que se hace una clara mención a la utilización de las herramientas que se facilitan al empleado con una exclusiva finalidad corporativa.

Mediante dichas políticas, se sientan las bases por las que se informa al empleado acerca de su responsabilidad con respecto a todas las acciones realizadas con las cuentas de acceso y los respectivos buzones de correo electrónico provistos por la empresa,  no debiendo permitirse la utilización de las cuentas de acceso y los respectivos buzones de correo electrónico a personas no autorizadas por la empresa o institución.

Así mismo, mediante la adopción de dichos procedimientos, se notifica a los empleados que deben ser conscientes de los riesgos que acarrea el uso indebido de las direcciones de correo electrónico proporcionadas por la empresa, que se deberá tener especial cuidado con los mensajes de correo de cuya procedencia no se esté totalmente seguro o que no hayan sido solicitados, entre otros aspectos.

Estas cuestiones afectan a la propia seguridad de la empresa, a la protección de la información tratada en sus sistemas, y adicionalmente a su imagen corporativa. Así las cosas, debe tenerse en cuenta que la publicación de las direcciones corporativas usadas por los usuarios de Ashley Madison, puede incidir negativamente en la imagen de empresas e instituciones. Baste citar como ejemplo las direcciones empleadas que finalizaban en .va, un dominio asociado al Estado del Vaticano.                                     

En segundo lugar, el daño corporativo y su afección a la confianza en los usuarios son difícilmente cuantificables, así como la utilización de dichas informaciones por terceros o la propia competencia, todo ello sin perjuicio de las posibles consecuencias para los usuarios, atendiendo entre otros factores a su posición y funciones, derivadas del incumplimiento de los aspectos reseñados y las posibles repercusiones y sanciones en el ámbito laboral asociadas.

Los datos que han sido volcados en Internet sobre los usuarios ¿pueden ser utilizados por terceros?

Nuestro Código Penal establece en el apartado 2º de su artículo 197, en el marco del delito de revelación de secretos que: “Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.”

En este punto podemos encontrarnos con dos escenarios: (i) empresas que deseen utilizar los datos de los usuarios para ofrecerles servicios, y (ii) la divulgación o utilización de la información sobre los usuarios de Ashley Madison por parte de terceros particulares, sin perseguir una finalidad comercial.

En el primero de los escenarios, debemos tener en cuenta que nuestra normativa en materia de protección es clara sobre la incorporación de datos a los Ficheros de entidades, estableciendo como requisitos, entre otros, el deber de información previo y el consentimiento de la persona sobre el tratamiento que se va a realizar sobre sus datos. Por otra parte, debe recordarse que Internet no tiene la consideración de fuente accesible al público según lo establecido en nuestra normativa,  lo que supone que el mero hecho de que la información aparezca publicada en la red no implica que podamos utilizarla.

En otro orden, la utilización de la información publicada sobre los usuarios de Ashley Madison por parte de particulares, su difusión o el enriquecimiento de la misma, puede conllevar un ataque al derecho al honor y la propia intimidad de los usuarios víctimas del hackeo. Debe recordarse que nuestra Constitución en su artículo 18.1 “garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”.

A mayor abundamiento debemos entender el honor como “dignidad personal reflejada en la consideración de los demás y en el sentimiento de la propia persona”, intimidad como “poder concedido a una persona sobre el conjunto de actividades que forman su círculo íntimo, personal y familiar, poder que le permite excluir a los extraños de entrometerse en él y de darle la publicidad que no desee el interesado”, y propia imagen como “representación gráfica de la figura humana, entendida ésta como la utilización sin consentimiento, del nombre, de la voz o de la imagen de una persona”.

Atendiendo a estos conceptos, así como a las disposiciones recogidas en nuestro Código Penal, y dependiendo del uso que se de a dicha información, o el ánimo de dañar al usuario cuyos datos son utilizados, podemos encontrarnos, además del reseñado delito de revelación de secretos, ante un delito de injurias y calumnias (artículos 205 y 208 del Código Penal).

¿Puede afectar la información hackeada al derecho al honor y la intimidad de terceras personas?

La información proporcionada, en tanto pertenece a la esfera privada del individuo, toda vez que está tratando con temas relacionados con su vida sexual afectiva, y por tanto en su esfera más íntima, no sólo supondría una intromisión ilegítima en el derecho a la intimidad del propio usuario sino que, podría incluso afectar a la intimidad de su entorno más próximo.

Por otro lado, en cuanto al derecho al honor, la realización de comentarios insultantes o injuriosos mediante la utilización de la información con la clara finalidad de dañar al cónyuge del usuario, podría suponer una vulneración de su derecho al honor.

¿Pueden hacerse públicos los datos de los usuarios en el marco del derecho a la información?

Nos encontramos ante la confluencia de dos derechos fundamentales: el derecho a la protección de datos y el derecho a la libertad de información. En este sentido, para poder establecer una correcta ponderación entre ambos derechos constitucionalmente protegidos, deberemos tener en cuenta el objeto y alcance de los mismos, así como su incidencia en otros derechos como el honor y la intimidad personal y familiar.

Si bien el artículo 18 de nuestra Constitución establece los derechos y garantías de las personas en relación con el derecho al honor, la intimidad personal y familiar y a la propia imagen, la privacidad de los ciudadanos y la protección de los datos personales, el Tribunal Constitucional ha reconocido, en diferentes sentencias, que el derecho a la protección de datos no se reduce a los datos íntimos de la persona sino también a cualquier tipo de dato personal, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, como aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico, o de cualquier índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo, cuestiones recogidas en diferentes Sentencias la Audiencia Nacional.

Por otro lado, el artículo 20 de nuestra Carta Magna garantiza el derecho a la libertad de información. En este sentido, el propio Tribunal Constitucional, en sus Sentencias 23/2010, de 27 de abril y 9/2007, de 15 de enero, entiende que el artículo 20 de la Constitución comprende, junto a la mera expresión de pensamientos creencias, ideas, opiniones y juicios de valor, la crítica de la conducta de otro, aun cuando la misma sea desabrida y pueda molestar, inquietar o disgustar a quien se dirige, pues así lo requieren el pluralismo, al tolerancia y el espíritu de apertura, sin los cuales no existe sociedad democrática. En este sentido, entiende la Audiencia Nacional que: “(…) el reconocimiento de la libertad de expresión garantiza el desarrollo de una comunicación pública libre que permita la libre circulación de ideas y juicios de valor inherente al principio legitimidad democrática. En este sentido, merece especial protección constitucional la difusión de ideas que colaboren a la formación de opinión pública y faciliten que el ciudadano pueda formar libremente sus opiniones y participar de modo responsable en los asuntos públicos”.

Así las cosas, en relación con la ponderación de ambos derechos fundamentales, el Alto Tribunal ha sentado como regla general que el derecho a la libertad de información prevalecerá en aquéllos supuestos en los que la información objeto de publicación sea veraz y resulte de relevancia pública, siendo de interés general las materias a las que la misma se refiere y la relevancia de las personas a las que aquélla atañe.

Debe recordarse que la propia Agencia Española de Protección de Datos en su Informe 0132/2010 afirmó que “(…) deberá considerarse lícita la divulgación de información que contenga datos de carácter personal en los supuestos en que dicha revelación resulte adecuada pertinente y no excesiva en relación con el libre ejercicio de la libertad de información, en los términos en que la doctrina constitucional ha entendido que dicho derecho prevalece sobre el de la protección de datos. De este modo, la información a divulgar deberá ser la que resulte necesaria para que informaciones que revistan la relevancia pública a la que se ha venido haciendo referencia puedan ser conocidas por los ciudadanos. Del mismo modo, cualquier información adicional que, conteniendo datos de carácter personal, resulte irrelevante para que la información facilitada tenga el carácter noticiable constitucionalmente requerido debería ser objeto de un previo procedimiento de disociación”.

En todo caso, el equilibrio puede depender, en supuestos concretos, de la naturaleza de la información, del carácter sensible de la vida privada de la persona afectada y del interés público que se persiga al disponer de la información. Así las cosas, el equilibrio entre ambos derechos fundamentales puede variar en función del papel que la persona desempeñe en la vida pública y del interés preponderante del público sobre dicha información.

Debe tenerse en consideración que el tratamiento y la utilización de dicha información por parte de medios de comunicación puede suponer una vulneración del derecho al honor, intimidad personal y familiar o propia imagen de los usuarios, y que estos podrán accionar los mecanismos de tutela de sus derechos reconocidos en el ámbito penal y en la Ley Orgánica 1/1982 de protección civil al honor, intimidad personal y familiar y propia imagen.

Por último, y no por ello menos importante, debe recordarse que el mero hecho de que una dirección de correo electrónico aparezca en los datos filtrados no implica necesariamente que el usuario sea cliente de la página web. En este sentido Ashley Madison nunca tuvo  implementado, y por tanto no exigía, un sistema de verificación de las cuentas de correo electrónico, por lo que parte de las direcciones aportadas pueden no ser reales o haber sido creadas ad hoc por usuarios diferentes para darse de alta en el portal, en tanto que un solo usuario podría disponer simultáneamente de una o varias cuentas.

¿Cómo evitar o minimizar el riesgo ante situaciones similares futuras?

En los próximos meses seremos testigos de demandas multimillonarias, informaciones que nos irán acercando a lo acontecido y a su impacto social. Prestadores de servicios, usuarios y empresas deben abstraer del ataque a Ashley Madison algunas ideas que mejoren la seguridad, confianza y la protección de la información, cada uno en su ámbito y bajo sus responsabilidades.

En este sentido, ha quedado latente que el gasto en seguridad no puede ser considerado como pérdida, más bien, debe considerarse una inversión que será rentabilizada mediante la generación de confianza en los usuarios y el valor de la protección de su privacidad e intimidad.

La generación de confianza de los usuarios debe basarse, junto con la adopción de medidas de seguridad que garanticen la integridad y confidencialidad de la información, en la adecuación legal del servicio prestado. Los términos y condiciones deben ser claros, escrupulosamente respetuosos con la norma, aportando seguridad jurídica a los usuarios, reconociéndoles la capacidad de decisión sobre sus datos y su privacidad.

Los propios usuarios de los servicios prestados en Internet, deben revisar la legalidad de las páginas web en las que pretenden interactuar. La protección de la privacidad debe empezar por uno mismo: si algo no se quiere que sea conocido, no debe ser compartido.

Por otro lado, las empresas deben avanzar en la adopción de políticas de uso de medios tecnológicos, regulando la utilización de equipos informáticos, correo corporativo y otras herramientas, protegiendo, no sólo la integridad y confidencialidad de la información tratada en sus sistemas (aspecto que se hace más relevante en la implantación de políticas “bring your own device”), sino la protección de su imagen corporativa y reputación on-line.