Responsabilidad por uso de las contraseñas ¿del usuario o del prestador?

por Jorge Campanillas Ciaurriz

publicado el 16 octubre 2014

Categorías: Abogado / Derechos Fundamentales / Noticias, Entrevistas, Opinión y Blogs / Privacidad

Últimamente no hay día que pase con un nuevo «susto» o aviso sobre la aparición de datos/imágenes y vulneraciones de servicios que afectan ya sea a famosas (#celebgate) o a millones de usuarios/as. En todos los casos siempre suele ocurrir la misma situación, el titular del servicio niega su agujero de seguridad o el posible «craqueo» de sus sistemas, exceptuando en las ocasiones que no han podido negar la mayor y han acabado reconociendo sus agujeros (ahora en algunas jurisdicciones, por ejemplo, los ISPs están obligados a informar de sus agujeros de seguridad) y responsabiliza normalmente del fallo al propio usuario por negligencia en el control de sus contraseñas o la utilización de alguna app maliciosa que ha acabado sustrayendo las contraseñas y poniendo en riesgo al usuario.

Estas situaciones me han hecho recordar como hace ya unos años ante los ataques de phishing a cuentas bancarias, las entidades se lavaban las manos por la responsabilidad de la «sustracción» de cantidades en las cuentas de sus clientes por un mal uso y custodia de sus contraseñas, avalada además por la inclusión en sus condiciones de servicio de una exoneración a las entidades por la utilización fraudulenta de las claves de identificación por culpa o negligencia de los usuarios. Ciertamente la situación actual no se puede comparar porque, primero las sustracciones no son dinerarias, está claro que cuando nos tocan el bolsillo nuestras reacciones de defensa y reclamación son mayores, nos vemos muchísimo más perjudicados y actuamos en consecuencia; aunque tampoco vamos a negar que cada vez nuestra información personal, nuestra privacidad tiene un mayor valor, y son un bien muy preciado en diferentes mercados negros, y saliendo del aspecto personal a ámbitos empresariales la información vulnerada y  puede tener un valor incalculable, incluso mayor si cabe que un robo de dinero en una cuenta bancaria. Además, en aquellos contratos bancarios existían esas cláusulas de exoneración que ya se encargaron los tribunales de reconocer su caracter abusivo y refrendedado por el propio Banco de España recriminando a las entidades bancarias para dar una mayor información de seguridad si cabe a los usuarios, y otros sistemas quizá más seguros (aunque menos «usables» y accesibles) que dieran mayor seguridad al usuario y no permitieran tan facilmente accesos no autorizados.

Por ello, si bien es cierto que la responsabilidad de la custodia de las credenciales de acceso a los servicios recae en los propios usuarios de los servicios (negligencia), los titulares de estos servicios también pudieran tener cierta responsabilidad en casos como los siguientes: se hubiese detectado un agujero de seguridad y no se hubiese informado por ello a los usuarios, hubiesen incluido cláusulas de exoneración de responsabilidad en sus contratos (cláusulas abusivas) y además no hubieran establecido sistemas alternativos más seguros e información clara y directa a los usuarios sobre la custodia de las credenciales de acceso.

Las entidades bancarias en muchos casos (por la importancia que tiene para ellas la seguridad y no verse afectadas por la mala imagen que ello genera en su reputación) devolvían las cantidades sustraídas fraudulentamente a usuarios de buena fe, ¿realizarán los titulares de estos servicios acciones de resarcimiento voluntario a sus usuarios/as por la vulneración de la privacidad de estos? Como digo, la información y la privacidad (aunque parezca una paradoja en el mundo actual de la sobreexposición pública) tiene un valor creciente e incalculable del que deben ser muy conscientes los gestores de servicios a los usuarios.