La noticia más grave de este fin de semana en el mundo de los videojuegos no pasó desapercibida para nadie. La Entertainment Software Association -los organizadores de E3- filtraron por equivocación una lista con datos personales de cientos de periodistas que asistieron al E3 este año.
Por supuesto, en esa larga lista de nombres estábamos nosotros. Los datos de nuestra oficina, número de teléfono y correo quedaron expuestos: información que uno supone segura a la hora de acreditarse.
En nuestro caso, las repercusiones fueron y serán menores. En casos como los de creadores de contenido, que entregaron sus datos personales, el problema es mucho mayor. La mayoría ha tenido que transformar los memes en realidad: cambiar el teléfono, sus cuentas de correo; sus métodos de comunicación usuales.
Todo por una filtración que ni siquiera fue malintencionada en principio, o que haya necesitado de hackers. Ante esa perspectiva, pasa lo que siempre pasa: nos toca a nosotros asumir los costos de un sistema para nada seguro.
La ESA nos pidió disculpas
Sólo horas después de la filtración, nos llegó un correo electrónico de parte de la propia ESA, ofreciéndonos sus disculpas. A saber:
Periodista registrado en E3 –
Hay que ser categóricos: si bien las disculpas se agradecen, esto no soluciona en lo absoluto un problema que jamás debió haber existido. La lista no tenía ningún sistema de seguridad por sobre ser «privada»: no requería de contraseña, no descansaba sobre otro sistema más seguro, no tenía un método diferente de autenticación. Era un liso y llano archivo Excel.
Si la ESA quería poner nuestros datos a disposición de expositores -algo que nosotros aceptamos al acreditarnos- podría hacer esfuerzos por mantenerlos seguros. Sólo bastaba una contraseña única, disponible a través de un canal físico -como una autenticación de dos pasos- para protegernos.
Crimen y (ningún) castigo
Lo cierto es que independiente de las mil disculpas enviadas por la ESA, no hay realmente un sistema infalible para castigar a las empresas que hacen mal uso de nuestros datos. En el caso chileno, todos los años vemos renacer filtraciones de bases de datos aparentemente seguras.
Por su parte, la legislación en Chile va por buen camino pero se ha ido estancando. El proyecto de ley que crea una Agencia de Protección de Datos Personales -es decir, la primera línea de defensa ante estos problemas- sigue en su trámite constitucional desde el año pasado.
Si cruzamos el Atlántico, nos daremos cuenta que Europa nos lleva bastante ventaja. El GDPR, la regulación de datos europea que ya puso entre las cuerdas a Facebook, podría ser de ayuda en este caso. Según un reporte de VentureBeat, el ente regulatorio europeo tendría jurisdicción ya que el sitio de la ESA es accesible desde Europa, y la filtración contiene información de miembros europeos de la prensa.
El GDPR es categórico en este caso: si una empresa recolecta datos personales de ciudadanos de la Unión Europea, debe cumplir con ciertos estándares. Ante ese panorama, la ESA podría pagar hasta 20 millones de euros por esta la violación a la privacidad.
Dicho castigo, al menos mirando la desregulada vereda estadounidense, sería el único realmente concreto.