Tilman Rodenhäuser (CICR), Silvia Pelucchi (CICR), James De France (CICR)
A principios de 2022, a raíz de un ciberataque sin precedentes, se produjo el robo de datos personales confiados al Comité Internacional de la Cruz Roja (CICR) y a las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja (Sociedades Nacionales). En respuesta al incidente, el Consejo de Delegados del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja (Movimiento) aprobó en junio de ese mismo año una resolución en favor de salvaguardar los datos humanitarios. La resolución trata varios temas interconectados. Primero, señala la responsabilidad de las organizaciones humanitarias de aprobar e implementar medidas de ciberseguridad y prácticas de protección de datos a fin de resguardar los datos que recopilamos; segundo, reitera que las organizaciones humanitarias gozan de la protección conferida por el derecho internacional humanitario e insta a los Estados y a otros actores a respetar y proteger a las organizaciones humanitarias imparciales en el espacio virtual de la misma manera que lo hacen fuera de él; tercero, incentiva la investigación y la innovación encaminadas a fortalecer la protección de datos humanitarios.
A fin de fortalecer la capacidad de protección de datos dentro del Movimiento (y la comunidad humanitaria en general), el CICR lleva adelante dos programas académicos vinculados con la acción humanitaria: uno con la Universidad de Maastricht, centrado en la formación y certificación para responsables de protección de datos; y otro con la Universidad de Cambridge, que propone una investigación conjunta sobre la transformación digital y sus implicaciones para la acción humanitaria. Al mes de abril de 2023, el programa de formación y certificación que se ofrece a través de la Universidad de Maastricht se ha impartido ocho veces en cuatro continentes; se han formado en él más de 230 profesionales humanitarios, de los cuales más de 100 contaron con el patrocinio de las respectivas Sociedades Nacionales. El CICR también apoya a Sociedades Nacionales en todo el mundo en la promoción del cumplimiento del Código de Conducta sobre protección de datos personales en actividades de Restablecimiento del Contacto entre Familiares (RCF), en la elaboración y la contextualización de herramientas de protección de datos en toda la red de RCF y en el diálogo con autoridades, en especial tras la violación de datos que se produjo en 2022.
Varias Sociedades Nacionales han realizado una labor digna de destacar en el ámbito de protección de datos. Por ejemplo, en 2023, la Cruz Roja de Zimbabue aprobó un acuerdo relativo al cumplimiento del Código de Conducta sobre protección de datos que deben firmar todos los empleados y voluntarios que trabajen en actividades de RCF; la Cruz Roja de Uganda recibió la certificación para recopilar, procesar y controlar datos, emitida por su autoridad nacional de protección de datos; y la Cruz Roja Australiana elaboró un ejercicio de simulación en torno a la protección de datos para empleados y voluntarios que se desempeñen en RCF.
La Federación Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja (Federación Internacional) ha seguido desarrollando sus prácticas internas en materia de protección de datos y colaborando con las Sociedades Nacionales para ayudar con la implementación de sus obligaciones en materia de protección de datos. Por ejemplo, ha efectuado varias evaluaciones de impacto relacionadas con la protección de datos junto con Sociedades Nacionales para proyectos que incorporan nuevas técnicas de procesamiento de datos. También ha redactado acuerdos de divulgación de datos y declaraciones de privacidad estandarizados con el fin de propiciar las transferencias transparentes, seguras y legales de datos personales en emergencias entre la Federación Internacional y las Sociedades Nacionales. Junto con las Sociedades Nacionales, sigue desarrollando herramientas de software diseñadas en función de los principios de protección de datos y de no causar daño.
No obstante, ni siquiera una sólida protección de datos por parte de las organizaciones humanitarias bastará para proteger del todo contra las violaciones de datos. Con el fin de alertar a los Estados respecto de estas nuevas amenazas y reiterar el consenso de larga data sobre la protección de las organizaciones humanitarias contra este tipo de perjuicios, el CICR planteó la cuestión ante las Naciones Unidas, instando a los Estados “a reafirmar que las organizaciones humanitarias, su personal y los datos humanitarios no deben ser nunca objeto de ataques, ni en el mundo físico ni virtual”. Haremos lo posible para favorecer la instauración de marcos jurídicos y normativos a tales efectos.
Tal como subraya la resolución, sin embargo, todos los componentes del Movimiento deberán esforzarse por aumentar su inversión en la protección de datos. En paralelo, el CICR está formulando posibles soluciones técnicas para fortalecer la protección de las organizaciones humanitarias y sus datos frente a peligros. Por ejemplo, en 2022, el CICR abrió una delegación para el ciberespacio, diseñada para utilizarse como laboratorio de pruebas seguro donde podamos emprender actividades de investigación y desarrollo en el ámbito de la seguridad de servicios digitales en favor de las comunidades afectadas. Asimismo, en noviembre de 2022, el CICR, junto con la Cruz Roja Australiana, publicó un informe (en inglés) sobre la digitalización de los emblemas, sus beneficios, riesgos y posibles soluciones. En los últimos meses, iniciamos debates sobre un emblema digital con las Sociedades Nacionales y los Estados, y seguimos analizando posibles soluciones técnicas.
La labor de protección de datos concluyó en 2019, con la aprobación de la resolución sobre restablecimiento del contacto entre familiares en un marco de respeto de la privacidad, incluso en materia de protección de los datos personales, en el marco de la Conferencia Internacional de la Cruz Roja y de la Media Luna Roja, y la resolución sobre salvaguardar los datos humanitarios por parte del Consejo de Delegados reunido en 2022. Pero este no es más que un punto de partida. Desde la aprobación de estas resoluciones, los ciberataques contra organizaciones humanitarias han puesto aún más de relieve la necesidad de tomar medidas concretas y decisivas. Es por ello que, partiendo de la resolución, debemos llevar la cuestión de cómo salvaguardar las organizaciones humanitarias, incluidos sus datos, frente amenazas digitales a la XXXIV Conferencia Internacional.
Más información sobre este tema
Rodenhäuser, Staehelin, Marelli, Safeguarding Humanitarian Organizations from Digital Threats
Marelli, El sector humanitario y la piratería informática: perímetro cibernético y una estrategia de seguridad informática para la transformación digital de las organizaciones humanitarias internacionales
