Robo masivo de datos y revelación de secretos

Son los robos de información, como el que a finales del año pasado sufrieron medio millón de españoles que, por no saber, no son conscientes ni de que fueron víctimas. Los cibercriminales -hay toda una corriente contra el uso del término hacker en este contexto- entraron con el usuario de dos funcionarios en las tripas del Poder Judicial y se descargaron un millón y medio de datos de las bases de la Agencia Tributaria.

Hay dos personas a disposición de la Audiencia Nacional que en breve serán más, es decir, el trabajo policial da frutos. ¿Pero qué pasa con el reproche penal? Según un experto en protección de datos de una multinacional, que prefiere aquí pasar desapercibido, el problema básicamente es que «estamos en pañales». Si no concurren otros factores, como una organización criminal, los ladrones de datos se ven perseguidos por delitos contra la intimidad.

En resumen: que quien se lleva el nombre, el DNI, el número de Seguridad Social, la dirección y la cuenta bancaria de alguien y pone esa información a la venta en Rusia, responderá por revelación y/o descubrimiento de secretos, por falta de un tipo penal que prevea de manera más concreta esa conducta y contemple todas sus aristas. También la de las víctimas.

Cuando una empresa sufre una brecha de seguridad, está obligada a comunicar a sus clientes afectados el riesgo. Ferrari, por ejemplo, avisó en marzo a los suyos de un ataque. Un escenario más común es que el proveedor de correo electrónico inste a renovar la contraseña. El ciudadano la modifica y fin del problema, en general.

Pero, ¿qué pasa cuando son datos personales que custodia la Administración? La legislación rige igual, pero si el asunto se declara de Seguridad Nacional, ya no aplica. Es secreto: el contribuyente víctima del hackeo al Poder Judicial probablemente, nunca llegará a saberlo. Y, si los datos no se han usado generándole un daño concreto, poco podría reclamar.

Es interesante también la perspectiva desde el punto de vista del bien robado. Si aparece un coche sustraído, se restituye al propietario. Los datos son intangibles, viajan y se esparcen. No hay restitución, ni se pueden sacar de circulación. «Ya comprometidos, no hay vuelta atrás», dice una fuente fiscal.

El caso del ataque al Poder Judicial ofrece de nuevo el paradigma. Está en la Audiencia Nacional no por los delitos, sino porque afecta a una alta institución del Estado y, de hecho, el juez José Luis Calama ha rechazado asumir la causa por hackeos similares a una empresa privada que le ha enviado un juzgado de Madrid. Se sospecha -o se sabe, que el investigado colabora- que los datos se incorporaron a una base que él mismo llevaba años confeccionando.

Ahí figuraba información extraída de otros hackeos, incluso de uno ya enjuiciado, pero que conservaba. Los recién incorporados engrosaron ese archivo que estaba a la venta desde Lituania. Uno de los compradores -esto sí es una sospecha- ofertó lo adquirido a su vez en Rusia, país que no es famoso por colaborar con la Justicia. Se perderá el rastro, cuando la Administración ha perdido ya cualquier control sobre los datos. Igual que sus titulares reales, los ciudadanos.

Explica otra fuente de la Agencia Española de Protección de Datos que, para estos casos, el legislador decidió que las sanciones fuesen un reproche, porque no tendría sentido que la Administración se multase a sí misma. Mientras, una experta en 'compliance' subraya que, observando ciertos códigos y conductas de prevención, la responsabilidad es exclusiva del hacker, no de la entidad hackeada. Esa responsabilidad se traduce en una imputación por revelación de secretos y eso, coinciden todos, se queda corto.