Materia seguridad de la informacion: La privacidad de Amber Heard

Evidentemente, Amber Heard es una actriz de Hollywood. Digo “evidentemente” porque nunca he visto ninguna de sus películas o programas televisivos. La primera vez que supe de la Sra. Heard fue cuando publicó un artículo en The New York Times sobre pornografía sin consentimiento, a menudo denominada “porno de venganza”¹ Parece que

…[en] 2014, cientos de fotos privadas e íntimas de celebridades, en su mayoría mujeres, se publicaron en una página de internet de mensajes como 4chan. Desde allí, se extendieron a otros lugares como Reddit, donde el hilo que incluye enlaces a las fotos ganó 75.000 suscriptores en menos de un día.²

Las fotos de la Sra. Heard estaban entre ellas. Se sintió avergonzada, acosada y atormentada, especialmente porque, a pesar de todos sus esfuerzos, las imágenes siguen apareciendo en Internet.

Leyes de privacidad

En la mayoría de los Estados Unidos hay leyes sobre el porno de venganza.³ Se basan en la premisa de que la persona o personas que publican estas imágenes están acosando a sus víctimas. La ley en el Estado de California, donde vive la Sra. Heard, sin establecer que la publicación de desnudos no es un delito, explícitamente lo es la intención del que lo publica.⁴

Sin embargo, la Sra. Heard argumenta que la pornografía sin consentimiento es más que acoso, es una violación de la privacidad.⁵ Existe cierto apoyo a su postura en el estatuto, que establece, en parte, que “las partes acuerdan o entienden que la imagen seguirá siendo privada”.⁶ Pero ¿la palabra de uso común “privado/a” implica privacidad tal como se define en legalmente? Es en este punto que el argumento de la Sra. Heard se vuelve relevante en este Journal.

Las leyes Federales de privacidad en los Estados Unidos se preocupan principalmente de la información financiera⁷ y de la salud.⁸ Hay leyes de privacidad en todos sus Estados, pero ninguna, que sepa, aborda la publicación de imágenes de desnudos sin el consentimiento del sujeto. (En California, hay una excepción a esta declaración, que trataremos más adelante). Entonces, en un sentido legalista, el reclamo de privacidad de Sra. Heard con respecto a sus fotos no parece sostenible.

En aquellos países sujetos al Reglamento General de Protección de Datos de la UE (RGPD)⁹ (u otras leyes basadas en él¹⁰), la Sra. Heard tiene un contexto legal mejor, no tanto por la desnudez, sino porque la publicación de cualquier imagen sin consentimiento está prohibida.¹¹ No es necesario establecer el derecho a la privacidad sobre la pornografía no consentida cuando toda la información, incluidas las imágenes, ya la tiene establecida.

Intento malicioso

Por lo tanto, la Sra. Heard (y cualquier otra víctima) se enfrenta a un dilema. Como señala en su artículo, en los Estados Unidos, la publicación de pornografía no consentida es ilegal sólo si se puede probar la mala intención (es decir, acoso). Señala que “una venganza personal no fue lo que motivó a las personas que estaban detrás del robo de -sus- fotos”.¹² Sin embargo, el mismo acto es de jure -de facto- ilegal en Europa. Para aquellos que están involucrados en el comercio internacional, y que nunca publicarían pornografía, el hecho de que el mismo acto pueda ser legal en una jurisdicción, pero no otra es indicativo de los problemas para establecer la privacidad en una Internet global.

La principal de ellas, desde la perspectiva de la Sra. Heard, no es sólo que las imágenes fueron publicadas, sino que continúan publicándose. Muchos de los pornógrafos viven en una libertad inventada (“Freedonia”),¹³ mucho más allá del alcance de la privacidad o de cualquier otra ley. Por ello esas imágenes permanecen en Internet.

Derecho al olvido

Lo que ella está buscando es el derecho a ser olvidada, como se expresa en el RGPD.¹⁴ Es importante destacar que, en este caso, el mismo concepto está incorporado en la Ley de Privacidad del Consumidor (CCPA) del Estado de California, que entró en vigor el 1 de enero de 20200.¹⁵ 

Específicamente, el estatuto de California dice: “Un consumidor tendrá derecho a solicitar que una empresa elimine cualquier información personal que la empresa haya recopilado del mismo “. ¿Pero es aplicable esta sección? ¿Es la Sra. Heard una consumidora? ¿Se tomaron las fotos de ella?

Surgen más preguntas. ¿Qué pasaría si las fotos no fueran de ella desnuda, sino con un letrero que apoyara a un conocido grupo político? ¿O ella cometiendo un crimen? ¿Tiene derecho a la privacidad para que se olviden estas fotos? ¿Y el olvido de dónde? Si fuera declarada culpable de un delito, la información al respecto podría eliminarse de un motor de búsqueda, pero aún se conservaría en los registros judiciales, disponibles al público.

En resumen, los requisitos para lograr la verdadera privacidad en los sistemas de información no son obvios. Utilizamos la palabra “privacidad” y muchas de sus variantes conocidas: una conversación privada; en la privacidad de la propia casa; mis esperanzas y miedos privados. ¿Estamos usando privacidad en el sentido legal cuando usamos estos términos? O, dicho de otra manera, incluyen (o debería) nuestras leyes de privacidad todos los significados de la palabra? Seguramente, como escribe la Sra. Heard, ella tenía una expectativa de privacidad sobre esas fotos.

COMO HE ESTADO DICIENDO EN ESTE ARTÍCULO, SIMPLEMENTE DEFINIR LA PRIVACIDAD COMO EL CUMPLIMIENTO DE LAS LEYES RELEVANTES PUEDE SER INSUFICIENTE Y PUEDE CONDUCIR A DEBILITAR LAS ACCIONES LEGALES.

Políticas y estándares

Debido a la falta de claridad, sugiero que corresponde a cada organización definir sus propias intenciones con respecto a la privacidad. Como he estado diciendo en este artículo, simplemente definir la privacidad como el cumplimiento de las leyes relevantes puede ser insuficiente y puede conducir a debilitar las acciones legales. La posición de privacidad de la organización debe estar recogida en las políticas y estándares.

Dependerá de los profesionales de seguridad de la información hacer cumplir esas políticas. Por lo tanto, recomiendo que esos profesionales se involucren en su diseño y publicación. Los profesionales deberán incorporar controles en los sistemas para fozar el cumplimiento de las políticas y estándares. Sin no son parte de su creación, el personal de seguridad de la información puede encontrarse en situaciones desconocidas y ambiguas. Lo mejor es tener algo que decir desde el comienzo del diseño.

Hace unos años, escribí un artículo en esta revista titulada “Privacidad de Paris Hilton”.¹⁶ En él, concluí “[si] cualquiera de nosotros debe tener privacidad, Paris Hilton debe tenerla también”. Lo mismo hay que aplicar a Amber Heard.

Notas finales

¹ Heard, A.; “Amber Heard: Are We All Celebrities Now?” The New York Times, de noviembre de 2019, https://www.nytimes.com/2019/11/04/opinion/amber-heard-revenge-porn.html
² Ibid.
³ Iniciativa de Derechos Civiles Cibernéticos, “46 States + DC + One Territory Now Have Revenge Porn Laws,” https://www.cybercivilrights.org/revenge-porn-laws/. The La Iniciativa de Derechos Civiles Cibernéticos, fundada por una víctima de pornografía no consentida, es una excelente fuente de información sobre este tema.
⁴ Información Legislativa de California, California Penal Code Section 647(j)(4) PC Invasion of Privacy, https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=647.&lawCode=PEN. La declaración específica es “con la intención de causar una seria angustia emocional” (énfasis añadido).
⁵ Op cit Heard
⁶ Op cit California Penal Code Section 647(j)(4)
⁷ Congreso de EE.UU., Gramm-Leach-Bliley Act o el Financial Services Modernization Act de 1999, 12 de noviembre de 1999, https://www.govinfo.gov/content/pkg/PLAW-106publ102/pdf/PLAW-106publ102.pdf (generally known as GLBA for the initials of its authors)
⁸ Centros para el Control y Prevención de Enfermedades, Health Insurance Portability and Accountability Act of 1996 (HIPAA), USA, 1996, https://www.cdc.gov/phlp/publications/topic/hipaa.html
⁹ Intersoft Consulting, General Data Protection Regulation GDPR, Bélgica, 2018, https://gdpr-info.eu/
¹⁰ Comforte Insights, “Six Countries With GDPR-Like Data Privacy Laws,” https://insights.comforte.com/6-countries-with-gdpr-like-data-privacy-laws. Siendo, Australia, Brasil, Japón, Corea del Sur, y Tailandia—California es nombrada, pero no es un país (todavía) y la comparación no es exacta.
¹¹ Intersoft Consulting, Art. 4 GDPR, Definitions, Bélgica, 2018, https://gdpr-info.eu/art-4-gdpr/. Específicamente, “consentimiento” del sujeto significa cualquier indicación libremente facilitada, específica, informada y sin ambigüedad de los deseos del sujeto por los cuales él o ella, por una declaración o por una acción afirmativa clara, significa estar de acuerdo con el procesamiento de datos personales en relación con él o ella”.
¹² Op cit Heard
¹³ Freedonia (Libertad Inventada) es un nombre que sirve para todo propósito, aunque ficticio, para países pequeños fuera del derecho internacional. Originalmente de la película Duck Soup de los Hermanos Marx.
¹⁴ Intersoft Consulting, Art. 17 GDPR, Right to Erasure (“Right to be Forgotten”), Bélgica, 2018, https://gdpr-info.eu/art-17-gdpr/
¹⁵ Información Legislativa de California, California Consumer Privacy Act de 2018, Code Section 1798.105 (a), 2019, https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.105.
¹⁶ Ross, S.; “Paris Hilton’s Privacy,” Information Systems Control Journal, vol. 3, 2005. Paris Hilton fue, en ese momento, una celebridad con menos reclamo para el rol que la Sra. Heard.

Steven J. Ross, CISA, AFBCI, CISSP, MBCP
Es el principal executive en Risk Masters International LCC. Ross ha estado escribiendo en las principales columnas de Journal desde 1998. Puedes contactar con el en su dirección de correo stross@riskmastersintl.com.