Mientras millones de australianos se apresuran a proteger sus datos tras un devastador ataque cibernético a Optus, tres palabras de una presentación que argumenta en contra de leyes de privacidad más estrictas han vuelto para atormentar a la empresa de telecomunicaciones.
Hace menos de dos años, Optus se quejó de que habría «costos de cumplimiento sustanciales» si se realizaban cambios en la forma en que la empresa almacenaba los datos de los clientes.
Si bien los expertos están de acuerdo en que ese puede ser el caso, los gobiernos estatal y federal ahora exigen que la empresa de telecomunicaciones pague el costo de reemplazar las licencias y los pasaportes robados en lo que podría ser el peor caso de robo de datos que haya visto el país.
El desastre ha agregado una nueva urgencia a los llamados para que Australia continúe endureciendo su Ley de Privacidad, particularmente en lo que respecta a la retención de datos.
Los expertos legales están pidiendo a Australia que siga las leyes de privacidad del «estándar de oro» de la Unión Europea.
Tony Song, de la Universidad de Nueva Gales del Sur, dijo que si bien la adopción de medidas como el Reglamento general de protección de datos de la UE podría tener un costo sustancial, era la mejor manera de avanzar.
Según las medidas, las empresas podrían recibir multas de decenas de millones de dólares por no mantener la privacidad de los consumidores, un incentivo tan bueno como cualquier otro, dijo, para aumentar el cumplimiento y endurecer los controles.
“Si tenemos esos requisitos de nivel, el aumento de las multas sería un gran incentivo para que las empresas no sean simplemente descuidadas”, dijo Song a NCA NewsWire.
“En última instancia, la violación de datos aún podría haber ocurrido: si un pirata informático quiere ingresar, ingresará, pero si tuviéramos leyes GDPR, definitivamente habría causado que Optus tuviera mejores sistemas y una mejor gestión de riesgos.
“Se trata de tener mejores sistemas implementados para administrar sus riesgos adecuadamente.
“Si esto sucede, en realidad estás preparado para ello, no dando vueltas y tratando de averiguar lo que necesitas y lo que no necesitas hacer.
«Definitivamente verás cesar este comportamiento descuidado; debido a la preocupación real que los domina, enfrentarán consecuencias comerciales».
El fiscal general Mark Dreyfus y el primer ministro Anthony Albanese han dicho que se apresurarán a introducir reformas urgentes lo antes posible.
El gobierno anterior comenzó el proceso de revisión de la Ley de Privacidad de 1988 hace años y solicitó presentaciones de las partes interesadas y afectadas.
En su propia presentación de 16 páginas, Optus escribió que no veían «ninguna justificación» para cambios masivos en la Ley.
“Descubrimos que los procesos funcionan razonablemente bien y han dado buenos resultados para los consumidores y las empresas”, escribieron.
Song dice que los últimos 10 días han resaltado todo lo contrario, y las reformas del gobierno, en las que se ha trabajado en segundo plano durante algún tiempo y se basan ampliamente en el RGPD, serían bienvenidas.
Sin embargo, señaló que hacer cumplir el cumplimiento debe ser una prioridad para el gobierno y dijo que, incluso sin reformas, Optus tal vez infringió las disposiciones existentes en virtud de la Ley de Privacidad.
“Parece que han estado reteniendo estos datos confidenciales sin una necesidad real”, dijo.
“La ley dice que solo puede almacenar datos según sea necesario para los fines de uso para los que los recopiló. Eso está en las políticas de privacidad que aceptamos como consumidores.
“¿Por qué necesitaban almacenar? Para mantener estos datos confidenciales incluso después de que, digamos, un cliente se fue y cambió de proveedor.
“Aún no sabemos el motivo o el argumento, pero si tenían una razón para almacenarlo incluso después de usarlo, deberían haberlo encriptado.
“Porque ahora la dirección, la licencia de conducir, el pasaporte de todos, estos puntos importantes de datos, están ahí fuera y pueden conducir al robo de identidad”.
Hablando más ampliamente sobre las reformas de datos y privacidad, la socia de Landers, Lisa Fitzgerald, dijo que había tres áreas de preocupación más apremiantes.
“Recopilación excesiva de información personal y confidencial más allá de cuando se necesita; asegurar la eliminación de información personal cuando ya no sea necesaria para el propósito original de recopilación, o si la persona lo solicita; compensación para las personas afectadas que se ven afectadas por violaciones graves de datos”, dijo a NCA NewsWire.
“Dado que la mayoría de las empresas ahora tienen una dimensión en línea y/o dependen de la tecnología para operar, y dado que la información personal es fundamental para ese proceso, la reforma de la privacidad debe centrarse en este contexto. Este no es solo un problema de los gigantes digitales.
“La realidad es que muchas empresas ahora operan en entornos de múltiples nubes con datos duplicados en nubes y varias plataformas. Una consideración clave es cómo se puede gestionar razonablemente el riesgo de datos en este entorno cada vez más complejo”.
Un portavoz de Dreyfus dijo que el departamento estaba revisando las presentaciones y produciría un informe final recomendando reformas a la Ley de Privacidad.
“Ese informe debe completarse a finales de este año, y después de que el gobierno lo considere, se hará público”, dijo el vocero.
Dreyfus dijo que el gobierno estaba buscando «reformas urgentes» que podrían hacerse de inmediato a la Ley para aumentar las salvaguardas que ya existen.
Agregó que iba a tratar de lograr reformas en la Cámara antes de fin de año.
“Lo que hemos tenido es una Ley de Privacidad que dice que se debe tener cuidado con la privacidad de los australianos y los datos privados de los australianos, pero no ha seguido el ritmo de la era digital. No ha seguido el ritmo de las mejoras tecnológicas y la extinción de la capacidad de las empresas para mantener cantidades absolutamente enormes de datos”, dijo.
“Cuantos más datos se guardan, mayor es el problema de mantenerlos seguros”.
Una de esas áreas que se le pide al gobierno que considere en su revisión es la del derecho a borrar.
Según el RGPD de la UE, el «derecho al olvido» permite la eliminación de todos los datos personales a petición del interesado, si, por ejemplo, los datos ya no son necesarios para el propósito previsto, o si una persona retira su consentimiento.
Es un ejemplo extremo de personas que toman la seguridad y la privacidad de sus datos en sus propias manos, y que a algunos expertos les gustaría que los australianos disfrutaran.
Optus aparentemente está en contra del derecho al olvido, sin embargo, escribe en su presentación de 2020 que hubo «obstáculos técnicos significativos» y costos para implementarlo de manera efectiva en la mayoría de los sectores de la economía, y que era necesario realizar más investigaciones.
Cualquier implementación, escribieron, necesitaría considerar exenciones o disposiciones clave para cumplir con las expectativas.
“Por ejemplo, el derecho a borrar debe limitarse a cuando ya no se requiera información personal”, escribieron.
“Vale la pena señalar que es probable que los costos de cumplimiento sean significativos para las grandes empresas, ya que estas organizaciones generalmente tienen información personal que fluye a través de una gran cantidad de diferentes bases de datos y sistemas heredados que realizan diferentes funciones para las organizaciones”.
El Sr. Song dijo que las reformas que Australia ya estaba considerando antes del hackeo de Optus incluían más alcance para el derecho de borrado, lo que nuevamente reflejaría la práctica del «estándar de oro» de la UE.
Pero, solo sería efectivo si los australianos asumieran más responsabilidad por su propia privacidad. El Sr. Song dijo que la pregunta debería ser rechazada en cuanto a por qué Optus retuvo los datos mucho después de que se necesitaron.
De los casi 10 millones de australianos a los que se accedió a sus datos, muchos de los cuales ya no están en la empresa de telecomunicaciones, a unos 2,8 millones se les han filtrado sus documentos de identificación, como su pasaporte, licencia de conducir o números de Medicare.
El tesorero adjunto Stephen Jones advirtió que la violación de datos tendrá un «impacto de larga cola».
«Sabemos que los estafadores, sabemos que los estafadores, ya están en eso, ya sea que tengan los datos de Optus o no, están intentando hacerse pasar por Optus, están intentando hacerse pasar por proveedores de licencias, están intentando hacerse pasar por gobierno y agencias gubernamentales”, advirtió.
«Depende de Optus garantizar que cualquier costo que surja de esto sea compensado por Optus y no por el gobierno».
El portavoz de seguridad cibernética de la Oposición, James Paterson, dijo que estaba claro que era necesario analizar con urgencia la cantidad y el detalle de los datos que las empresas almacenan.
“Y si es realmente necesario o no, desde una perspectiva legal o comercial, que continúen haciendo eso”, dijo a NCA NewsWire.
“Los datos son muy poderosos, tanto para bien como para mal, es peligroso almacenarlos a una escala tan masiva porque son de gran interés para los delincuentes, pero también para los actores estatales extranjeros.
“Creo que el punto de partida es que las empresas deberían tener la cultura de mantener la cantidad mínima de datos necesarios para cumplir con sus requisitos legales y para adaptarse a sus propósitos comerciales. No deberían almacenar ningún dato adicional que no necesiten”.