Fecha
24 de abril de 2020
Resumen
La Superintendencia de Industria y Comercio (SIC) anunció que investigará si el servicio de videoconferencias Zoom cumple con sus obligaciones de protección de datos
Descripción
En un comunicado de prensa la SIC informó que, tras los hallazgos del investigador de la Universidad de Harvard Bruce Schneier sobre las malas prácticas de seguridad del servicio y teniendo en cuenta el aumento en su uso en medio de la pandemia, va a investigar si Zoom “cumple o no con la regulación colombiana relativa a los principios de seguridad, acceso y circulación restringida” y “si dicha empresa ha implementado el principio de responsabilidad demostrada en el tratamiento de los datos de los ciudadanos que usan sus servicios”.
Análisis
José Luis Peñarredonda
La SIC efectivamente tiene entre sus funciones como autoridad de protección de datos personales evaluar si los servicios usados por los colombianos cumplen con los principios mencionados arriba. Pero investigar un servicio como Zoom no parece el uso más adecuado para la limitada capacidad de investigación del organismo.
Efectivamente, el informe de Schneier afirma que la seguridad de Zoom está muy mal diseñada y mal implementada, al punto que hace cuestionarse —como lo hace la SIC— si la empresa realmente implementa medidas que protejan los datos de los usuarios, es decir, si implementa el principio de “responsabilidad demostrada”. Pero los resultados de ese informe deberían ser validados antes de que un regulador tomara medidas que causan costos reputacionales a una empresa, como lo es abrir una investigación de oficio.
Además, la seguridad deficiente no parece un problema solo de Zoom: dos informes, uno de la Fundación Mozilla y otro de la NSA, muestran que hay otros servicios de videoconferencia con incluso peores especificaciones de cifrado y seguridad. De hecho, una segunda publicación en el blog de Schneier, aparecida después del anuncio de la SIC, muestra que Zoom ha hecho mejoras en su seguridad. Al final, no parece lo suficientemente mala como para que el mismo investigador la evite: “Yo uso Zoom todo el tiempo […] tengo toda clase de reuniones personales y familiares por Zoom”, escribe.
En este caso, la presión mediática, y no la acción de un regulador, fue lo que llevó a las mejoras de seguridad. Cualquier esfuerzo que hiciera la SIC para investigar a Zoom —si es que hizo alguno en absoluto— fue totalmente espurio. En cambio, en el contexto de la emergencia, sí hay otros riesgos a la privacidad y la seguridad de los datos personales de los colombianos que la SIC sí podría ayudar a solucionar.
Por ejemplo, según el Alto Consejero para la Innovación y la Transformación Digital, Víctor Muñoz, CoronApp cumple con todos los requisitos de la Ley de Protección de Datos Personales (Ley 1581 de 2012). La SIC es la única entidad que puede verificar esa afirmación con certeza. En aras de construir la confianza necesaria entre el Estado y la ciudadanía para que el proceso de rastreo epidemiológico por medio de aplicaciones sea eficaz, quizás esa debería ser la prioridad del regulador.
Actualizaciones
Sin actualizaciones.