¿Los delincuentes roban un enorme tesoro de información de las tarjetas de crédito, pero estamos tan saturados de estas noticias que ya no nos importa?
El 20 de enero, mientras la mayor parte de la nación tenía sus ojos puestos en la histórica inauguración presidencial, Heartland Payment Systems, una compañía de procesamiento de pagos con tarjetas de crédito, revelaba que ladrones de información habían instalado un programa espía en la red de la compañía para robar detalles de tarjetas de crédito durante todo el 2008. La empresa dice que ellos procesan alrededor de 100 millones de pagos al mes, y a esta altura todavía desconocen la cantidad de información robada; el robo quizás sea la mayor violación de información de todos los tiempos.
Pero, ¿le importa realmente esto a alguien? O más bien, ¿debería importarle a alguien?
Las leyes sobre violación o robo de datos en 44 estados requieren que las compañías informen la pérdida o robo de datos personales, y tales leyes, sin duda, obligaron a Heartland a hacer público este hecho en 2008breach.com. Pero cientos de otras violaciones pasan inadvertidas para muchos consumidores. Aunque fueron creadas para obligar a las compañías a implementar prácticas de seguridad sólidas a fin de salvaguardar información sensible, las leyes no parecen lograr su cometido.
Caso puntual: El Identity Theft Resource Center (www.pcwla.com/buscar/09045801), una organización basada en San Diego, la cual provee ayuda gratuita a víctimas de robo de identidad, ha identificado que el número de violaciones de datos reportados creció de 446 en 2007 a 656 en 2008 -un incremento del 47 por ciento.
Jac Foley del ITRC, considera que gran parte de este incremento no refleja realmente un aumento en los delitos, sino más bien un aumento en los casos divulgados. Aunque de cierto modo podría verse como un éxito de las leyes sobre protección de datos, también podemos considerarlo un fracaso: Está bien que las leyes obliguen a las compañías a preocuparse por el problema en lo que a la divulgación del delito se refiere, pero el objetivo subyacente en primera instancia debería centrarse en presionar a las compañías para prevenir estas pérdidas.
Las leyes actuales asumen que el público y los medios censurarán cada violación y asestarán un golpe a la reputación de la compañía afectada. Pero con 656 delitos ocurridos en un año, podemos apostar con certeza que la mayoría de las incidencias no llamarán mucho la atención.
Foley opina que con la incorporación de algunas mejoras necesarias, tales como exigir que las violaciones sean reportadas al fiscal general y que las notificaciones a los consumidores afectados contengan todos los detalles pertinentes del robo y posibles remedios, las leyes existentes serían efectivas.
No estoy tan seguro. Reconozco que las compañías están extremadamente ansiosas por evitar la crisis de relaciones públicas que de seguro tienen que afrontar tras sufrir un robo de información -un punto enfatizado por Chris Hoofnagle, director de programas de privacidad de la información en el Berkeley Center for Law & Technology.
Pero Hoofnagle también indica que si realmente estamos reacios a escuchar de más y más incidentes, el impacto no afectará por igual a las compañías. Si este es el caso, lo más seguro es que necesitemos mordazas reguladoras para forzar a las compañías a manejar adecuadamente la información.
No importa cuán cuidadosos seamos en lo personal para proteger nuestra identidad, la vasta mayoría de nuestros datos sensibles permanece bajo la custodia de compañías sobre las cuales no ejercemos ningún control. Dichas empresas necesitan el incentivo apropiado -o la amenaza- para cuidar de nuestros datos tanto como nosotros lo hacemos.
-Por Erik Larkin