La nueva ley australiana anti-cifrado permite al Gobierno el acceso a datos encriptados
El Parlamento australiano aprobó el pasado 6 de diciembre una ley anti-cifrado que colisiona con algunos principios esenciales en privacidad de manera mundial, y de forma directa con las previsiones del RGPD.
Conforme a esta normativa, las empresas australianas estarán obligadas a construir “backdoors” o puertas de acceso traseras a la información de tal modo que ésta se encuentre a disposición del Gobierno, a la vez que se les requiere que no comuniquen la existencia de dicho sistema a los usuarios ni clientes, ni se haga de ningún otro modo público, bajo pena de prisión. De esta forma, las compañías se verán compelidas incluso a falsificar datos para auditorías que pudiesen revelar tal vulnerabilidad.
¿Qué ocurre entonces con clientes internacionales de empresas de software australianas? Actualmente los usuarios confían en la implementación del cifrado de extremo a extremo, pero esta característica tendrá que modificarse para permitir el acceso del Gobierno a los datos tratados, lo que implica que quedará así al descubierto cualquier información de los clientes, incluidas la relacionada con una brecha de seguridad, con entornos confidenciales o con elementos de propiedad intelectual.
Esta normativa añade un riesgo adicional a la disposición de la información por el Gobierno, que son las vulnerabilidades de seguridad que se den en los mismos sistemas del Gobierno, de tal modo que se multiplica la posibilidad de un acceso indebido y malicioso a los datos por un tercero.
De esta forma, la aplicación de la nueva ley anti-cifrado generará completa incertidumbre en los usuarios cuyos datos se almacenen en plataformas de software australianas, pues no podrán conocer si el tratamiento es completamente seguro o está sujeto a vulnerabilidades, dado que el Gobierno veta a estas empresas incluso de retirar de sus páginas web los avisos de encriptado.
Esta situación impedirá a cualquier responsable o encargado en la UE valorar el cumplimiento y adaptación al RGPD de una empresa australiana, lo que generará trabas para la utilización de las respectivas plataformas o herramientas, conforme al artículo 28 RGPD.
