Google no informa a los usuarios de la filtración de Google+ : así se ha librado de tener que cumplir GPDR

Google no informa a los visitantes de la infiltración de Google+ : así se ha librado de tener que cumplir GPDR

La vulnerabilidad que existía en Google+ expuso los documentos privados de medio millón de usuarios. No parece mucho si los comparamos con los 50 millones de visitantes afectados en Facebook® por el escándalo de Cambridge Analytica, sin embargo el dilema no es el alcance de estos fallos de seguridad, sino la forma en la que las industrias los gestionan.

En Google® no cumplieron con la GDPR: no tenían que realizarlo puesto que la regla no estaba en vigor cuando se produjeron los hechos. Hemos mencionado con un jurista especializado en este ámbito y las conclusiones son claras: Google® no hizo nada ilegal, pero su falta de transparencia es un dilema grave que exactamente se busca corregir con la GDPR.

Sin respuesta de Google® (de momento)

Lo cierto es que esa transparencia que ahora ha salpicado a Google® lo hizo en el pasado y lo hará en el futuro a algunas otras. En Xataka nos hemos puesto en contacto con los encargados de Google para plantearles algunas preguntas al respecto, sin embargo de instante no nos han respondido.

Privacidad

Entre ellas, por ejemplo, ¿cómo sabe un cliente si alguien no autorizado ha tenido acceso a sus datos? ¿Cuál ha sido la suma de visitantes españoles afectados? ¿Se va a notificar a los visitantes afectados el problema? ¿Pueden (o deben) ellos crear algo al respecto, como convertir contraseñas?

Ni Google® ha aclarado esas cuestiones en el capítulo que publicaron hace unos días en su blogger oficial, ni hemos conseguido lograr contestación concreta a ellas, sin embargo actualizaremos el capítulo si esas soluciones nos llegan.

Una brecha menor que abre un debate mayor

El descubrimiento de estas vulnerabilidades parece haber sido la excusa perfecta para que Google® cierre Google+. La red social que quiso competir con Facebook® apenas tenía actividad, y ahora se transformará en un producto orientado a empresas. Eso no quita para que el escándalo haya provocado posibles demandas en Alemania o Estados Unidos, donde los reguladores que protegen la privacidad de los visitantes están planteando acciones legales.

Privacy

Curiosamente el escándalo lo ha detonado un dilema de protección que casi podríamos calificar como menor. La vulnerabilidad perjudica a una API de Google+ para desarrolladores, y solo 432 individuos pidieron acceso a dicha API para sus beneficios conectados a Google+. En Google® indican que no hay evidencias de que dicho error de protección haya sido aprovechado para extraer información privada, y lo cierto es que la reducida version de Google+ minimiza todavía mas las consecuencias del problema.

Pero como decíamos, no importa la magnitud del problema, sino la forma en la que Google® lo ha atajado. La compañia asegura haber corregido la vulnerabilidad en marzo de 2018, pero solo ha identificado que existía períodos después. Lo ha hecho a raíz de la noticia original de The Wall Street Journal en la que se revelaba el problema.

Google no incumplió la GDPR, sin embargo no fue transparente

La pregunta, claro, es: ¿habrían dicho algo acerca de la vulnerabilidad si el WSJ no hubiera sacado a relucir el tema? ¿Seguiría Google+ abierto y sin fecha anunciada de desaparición?

Abel Loeches Akela

No logramos saberlo, sin embargo una vez mas se produce una circuntancia en la que una compañia solo reacciona cuando el escándalo sale a la luz. La transparencia de Google® —como la de otras algunas enormes de la tecnología— queda en entredicho, y eso es lo que hemos querido aclarar.

Para aclarar la circuntancia hemos mencionado con Abel Loeches (@AbelLomar), jurista y miembro en la consultora de derecho digital AKELA (@Akela_Asesores).

Para comenzar Loeches nos confirmaba que Google® no incumplió el nuevo Reglamento General de Protección de documentos (GDPR, por sus siglas en inglés), ya que este es aplicable desde el 25 de mayo de 2018. Como los hechos no se produjeron después de esa fecha, Google no estaba obligada a cumplir todavía con esa normativa. De hecho, como nos explicaba este experto,

Google quiso eludir un escándalo parecido al de Facebook® con Cambridge Analítica y, dado que en marzo de 2018 no había ninguna regla vigente que le obligara a crear lo contrario, Google® ocultó esta brecha de protección a las autoridades de dominio y a los propios usuarios.

Cuando se produjeron los hechos Google® no estaba obligada a notificar esa incidencia de seguridad, “pero la compañia sí que debía registrarla, tratarla y corregirla; lo que aseguran haber hecho”. El dilema de fondo, como anuncia Loeches, es que

No se puede hablar de incumplimiento de una regla no aplicable, pese a que sí se puede afirmar que Google® no actuó de forma transparente o con responsabilidad proactiva, 2 de los nuevos principios que constituye además la GDPR.

Todo ello parece “salvar” a Google® de una factible multa por mostrar la privacidad de los usuarios, pese a que la cosa cambiaría si como dice Loeches a dia de hoy se detectase que esa brecha de protección continua activa. “Dejaremos que las Autoridades de Control de los diferentes territorios socios de la UE actúen si lo consideran apropiado abriendo un método de inspección“, concluía este abogado, que nos recordaba que no sería la 1ª vez que la Agencia Española de Protección de documentos sanciona a un enorme tecnologico estadounidense.

Google (y el resto) obtendrá que convertir de actitud con la GDPR

La compañia por tanto no violó la GDPR y no parece expuesta a sanciones, sin embargo la cosa cambiará a partir de ahora. La entrada en vigor de esta regla hará que tanto ella como todas las industrias que manejan documentos de sus visitantes activen multiples medidas para protegerlos.

Gdpr1

Eso implica la implantación de medidas de dominio “organizativas, técnicas y legales” para mitigar o disminuir esos riesgos, y como nos recordaba Loeches,

Entre estas medidas, hallamos la necesidad de aplicar un protocolo de notificación de brechas de protección de forma que, en caso de producirse algún nuevo incidente de seguridad, deba notificarse en su caso a la Autoridad de Control competente o inclusive a los interesados afectados por el mismo.

Eso nos deja una pregunta adicional: ¿debe Google® notificar un incidente de protección en todos los casos? Este tipo de transparencia es la que exactamente va en contra de esa filosofía de “segurridad por oscuridad” que siguen algunas industrias y que se basa en el secreto para garantizar la seguridad.

Muchos maestros independientes de protección como Bruce Schneier defienden la transparencia total a través de la llamada “revelación completa” (full disclosure), y destacan como este prototipo y el escrutinio público “son la unica forma eficiente de optimizar la seguridad”. Hay ejemplos diferentes como la “revelación encargado (responsible disclosure) mas enfocada a maestros de protección que localizan vulnerabilidades y dan tiempo a las industrias para que las corrijan antes de hacerlas públicas.

Para las empresas, no obstante, el debate esta servido y como reconocía Loeches este tema “es mas complejo”. Eso sí, él mismo recuerda que “cada compañia tiene la necesidad de contar con un Protocolo de Notificación de Brechas”. Este procolo acepta cotizar el choque de una incidencia, y en función de ello se valora si se reporta a la Autoridad e Control o “en caso de riesgo grave para los interesados, notificarles además a los mismos“. Loeches aplicaba ese origen al caso que nos ocupa:

Por tanto, si hubiera brecha, Google® debe examinar la incidencia de protección y en base a su Protocolo notificar o no (probablemente el efecto sería que debe notificar a Autoridad e interesados, sin embargo es algo que no logramos saber porque no tenemos acceso a su informe interno)

Mientras tanto, lo cierto es que el debate sobre protección y transparencia queda al descubierto, y puede que la GDPR logre allanar el acceso en este ámbito y crear que efectivamente todas las industrias sean no solo mucho mas escrupulosas con los documentos de sus usuarios, sino además mas transparentes a la hora de notificar incidencias.

También te recomendamos

Google® Chrome® y la oscuridad: su ultima version pone en riesgo nuestra privacidad

Lavadora con función vapor: qué es y como debe utilizarse

El gobierno de EEUU quiere que Facebook® rompa el transcrito de Messenger para captar mensajes y llamadas


La novedad Google® no informa a los visitantes de la infiltración de Google+ : así se ha librado de tener que cumplir GPDR fue publicada originalmente en Xataka por Javier Pastor .


Xataka



Agradecemos a la fuente original por la información que nos ayudo a crear este articulo.

También puedes revisar estas noticias relacionadas.

Tags: #así #cumplir #filtración #Google #GPDR #informa #librado #tener #usuarios

Deja un comentario

Author: 
    author