En su afán por frenar la gran tecnología a través de la Ley de Mercados Digitales, los legisladores europeos están arriesgando la privacidad y la seguridad de todos los europeos. Es hora de aceptar la realidad de que las medidas destinadas a obligar a las grandes plataformas a ser más abiertas, las obligarán a bajar sus defensas y a abrir los datos de los europeos a los malos actores. Ninguna cantidad de ilusiones cambiará el hecho de que la apertura forzada está en un tira y afloja con la seguridad. Las disposiciones de privacidad y seguridad de la DMA no se acercan a tomar el problema en serio y esperan irracionalmente que las empresas tecnológicas resuelvan una nueva clase de riesgos que creará la DMA.
No se puede discutir que algunas de las ideas principales de la DMA, como las de interoperabilidad forzada o portabilidad de datos, crearán nuevos riesgos para la privacidad y la seguridad. El verdadero problema es cuán inadecuadamente se están abordando esos riesgos en la DMA. Los legisladores parecen pensar que es suficiente que les digan a las empresas de tecnología: “Hagan esto muy arriesgado y difícil mientras se aseguran de que no presente riesgos de privacidad y seguridad”. O, en otras palabras, «empollón más duro». Esta no es una forma responsable de regular y pone en peligro los datos de los europeos y nuestro acceso a los servicios en los que confiamos.
Excluir a los actores malos y poco confiables es la esencia de la seguridad.
Una de las ideas más discutidas de la DMA, la interoperabilidad forzada, puede convertirse muy fácilmente en uno de los mayores fracasos de las políticas tecnológicas. La propuesta original de DMA era relativamente razonable en comparación con las enmiendas radicales adoptadas por el Parlamento Europeo, especialmente con respecto a las redes sociales y los servicios de mensajería. Si se adoptan, esas reglas abrirían los datos de los europeos a la explotación por parte de malos actores en una escala que hará que Cambridge Analytica ni siquiera valga la pena mencionar.
Negarse a intercambiar nuestros datos con terceros no identificados y no investigados es precisamente lo que debemos esperar de los proveedores de servicios digitales. Si se toma en serio, «garantizar un alto nivel de seguridad» significaría que los datos solo deben intercambiarse con empresas que brinden al menos un nivel de seguridad equivalente. Y aquí está el problema: el nivel de seguridad proporcionado por las principales empresas de tecnología a sus usuarios no tiene paralelo en el mundo comercial e incluso la gran mayoría de las organizaciones gubernamentales no podrían igualarlo.
Tenemos que evitar una carrera hacia el abismo. La interoperabilidad segura es posible, pero probablemente significará una fricción notable y la exclusión de empresas emergentes de «dos tipos en un sótano». ¿Se interpretará la DMA de una manera que acepte esta realidad o se abordará esta preocupación con más gestos y culpando a las grandes tecnologías por las fallas de sus competidores? La respuesta no es difícil de adivinar.
De manera similar a la interoperabilidad forzada, la DMA obligaría a las empresas incluidas en el alcance a compartir datos de usuarios con otras empresas, incluidos los datos que podrían permitir rastrear búsquedas individuales realizadas por usuarios de motores de búsqueda. Como notó incluso el Supervisor Europeo de Protección de Datos, se puede recopilar una gran cantidad de información confidencial sobre cualquier persona simplemente sabiendo lo que buscó en línea.
Decir, como lo hace la DMA, que dicho intercambio simplemente debería estar sujeto a la anonimización revela una falta de comprensión de lo difícil que es compartir datos a nivel de usuario de una manera que no pueda ser anonimizada. Las técnicas de anonimización solo están creciendo en sofisticación. Puede haber pocas esperanzas de que una regla sobre el intercambio de datos a nivel de usuario se aplique de manera competente, por lo tanto, sería mucho más seguro para todos nosotros si nunca se convierte en ley.
La combinación de datos es necesaria para la ciberseguridad
Para ser efectivos, los ciberdefensores necesitan información. Cuanta más información tengan sobre las acciones de los atacantes, mejor podrán proteger a los usuarios bajo su cuidado. Por ejemplo, escanear correos electrónicos entrantes en busca de amenazas de seguridad puede requerir la integración de servicios de seguridad externos. Mirar solo el correo electrónico puede dar algunas pistas, pero es fácil para los atacantes preparar correos electrónicos de cebo que no se identificarán fácilmente de esta manera.
La DMA prohibiría la combinación de datos personales de varios servicios, a menos que el usuario proporcione su consentimiento específico. Para seguir brindando el nivel actual de seguridad bajo la DMA, los proveedores de servicios deberán comenzar a bombardear a los usuarios con un nuevo tipo de ventanas emergentes de consentimiento. Los proveedores también se arriesgarán a multas masivas por proporcionar demasiada información y muy poca o por presentar el consentimiento de manera positiva. En un momento en que los ataques cibernéticos son cada vez más peligrosos, no es prudente dificultar que los proveedores de servicios protejan a sus usuarios.
¿Cómo podría hacerse la DMA más segura para los usuarios? Algunos gobiernos de la UE han propuesto un paso en esta dirección, a saber, agregar una disposición general en el artículo 7 de la DMA según la cual los guardianes solo deberían estar obligados a actuar proporcionalmente en virtud de la DMA, teniendo en cuenta la necesidad de proteger la privacidad, la seguridad del usuario, la calidad y la funcionalidad de los servicios.
Aumentar la privacidad y seguridad de la información a través de la ley es notoriamente difícil incluso si ese es el objetivo explícito de la legislación. Sin embargo, al menos deberíamos esperar que la ley no disminuya el nivel de privacidad y seguridad. La DMA, especialmente en la versión del Parlamento Europeo, claramente sacrifica la privacidad y la seguridad del usuario a favor de ayudar a algunas empresas a luchar contra la gran tecnología. La DMA necesita enfocarse más claramente en los intereses de los usuarios.