La comunicación de Vodafone con los clientes afectados ha sido nula. Como ya hemos visto, lo único que se conoce está en noticias de prensa, en el foro donde bastantes usuarios intercambiaban información, y finalmente, en el comunicado de FACUA. Lo cierto es que la respuesta puede calificarse de desastrosa.
La sensación que los clientes afectados se han llevado deja mucho que desear. Me gustaría poder medir cuántos clientes dejarán Vodafone por este incidente, o poder medir también la publicidad negativa que estos proporcionarán a esta compañía. Todo esto podría valorarse económicamente.
¿Pero qué se debía hacer? ¿Es mejor no levantar mucho polvo guardando silencio, y dejar que pase la tormenta, o tomar medidas?… ¿pero qué medidas? Las empresas españolas no están obligadas a comunicar estos fallos de seguridad que comprometen datos de carácter personal, pero no es menos cierto que con Internet al alcance del usuario el escenario ha cambiado. Ya hemos visto lo fácilmente que corren las noticias…
Todavía no está muy introducido en España lo que es conocido como “data breach management”. Diferentes equivalentes a nuestra Agencia Española de Protección de Datos tienen publicadas guías para actuar en estos casos. A título de ejemplo:
Canadá – Key steps for organizations in responding to privacy breaches
Gran Bretaña – Guidance on data security breach management
Nueva Zelanda – Privacy Breach Guidance
Tienen en común que los pasos a seguir son los siguientes:
1.- Contención del incidente y evaluacion preliminar;
2.- Evaluación de los riesgos asociados;
3.- Notificación; y
4.- Prevención
La tercera fase, la notificación, es la que sabemos que Vodafone no ha realizado. Al menos voluntariamente.
En todas estas guías se hace hincapié en que hay que evaluar caso por caso. El procedimiento de notificación de incidencias ha fallado estrepitosamente. ¿Cómo es posible que habiendo recibido llamadas en el servicio de atención al cliente no se reaccionase antes? Y una vez conocido, y habiendo sido contactados por FACUA pidiéndoles explicaciones, ¿por qué Vodafone no hizo un comunicado público?
Tendremos que acostumbrarnos a gestionar estos incidentes. No sería mala idea quizá que la Agencia se pusiera manos a la obra para confeccionar una guía de estas. No tardará mucho, ¿hay apuestas?