ESCUCHARPor Matías Altamira *
La empresa italiana Panini, propietaria del mundialmente famoso album de figuritas del Mundial de Fútbol, que todo chico quiere tener y completar (varias veces), sufrió días pasados graves problemas de seguridad informática en uno de sus bancos de datos, el de los niños.
Según el comunicado de prensa que emitió, desconocidos tuvieron acceso a los datos personales de clientes del servicio “mypanini”, mediante el cual se pueden subir fotos propias para que sean impresas como figuritas de estrellas de fútbol. En esas figuritas autogestionadas por los menores se informa su nombre completo, la fecha de nacimiento y la dirección postal. Los principales afectados parecen ser niños de Argentina, Brasil, Alemania, Bélgica y Francia.
Esta fuga de información de escala mundial tendría poca relevancia si se evaluaran los datos personales involucrados en esas bases, ya que sólo se refieren al nombre, fecha de nacimiento y dirección, que en la mayoría de las legislaciones no requieren el consentimiento expreso, tal como lo dispone el artículo 5º, inc. 2 c) de la ley nacional 25326. No obstante, al tratarse de menores de edad, la cuestión se agrava significativamente ya que ellos no tienen la capacidad jurídica de prestar su consentimiento libre, expreso e informado.
La Comisión Europea ha puesto en vigencia a partir del 25 de mayo pasado un nuevo Reglamento General de Protección de Datos, emitiendo unos boletines de asistencia, entre los que se encuentra el titulado “Siete pasos para que las empresas se preparen”, del que se recomienda su lectura, entre los que se destaca un apartado de Principios Claves, en el que dice que “no recopile más datos de los que necesite (si hace entregas a domicilio, necesitará, por ejemplo, una dirección y un nombre del portero automático, pero no necesitará saber si su cliente es soltero o está casado); simplemente tenga en cuenta los datos personales que tiene bajo su control”.
La recomendación está en línea con la política de Panini, que requirió el nombre y nacimiento para imprimir en la figurita y la dirección postal para su envío.
A su vez, el nuevo reglamento establece que si se pierden o roban sus datos personales de una forma que pueda perjudicar, la empresa causante tendrá que informarle (y a la autoridad de supervisión de la protección de datos competente) sin dilaciones indebidas. En caso contrario se le podrá imponer multas según lo dispuesto por sus artículos 33 y 34.
El elemento clave es que la fuga le pueda generar un perjuicio al titular del dato almacenado, quedando, para el caso concreto, evaluar cómo puede estimar la empresa si esa pérdida dañará a su cliente.
En conclusión, como los ataques a la seguridad son inevitables, sólo almacene los datos que sean esenciales para gestionar eficientemente la relación con sus clientes.
* Abogado, especialista en derecho informático
