En los últimos años ha comenzado a popularizarse un término que preocupa cada vez más en el ámbito de la privacidad digital: el doxing. Aunque a menudo se relaciona con conflictos en redes sociales o con ataques entre usuarios en internet, en realidad se trata de una práctica que puede tener importantes implicaciones legales, especialmente en materia de protección de datos y derecho a la privacidad.
¿Qué es el doxing?
El doxing consiste en recopilar y difundir públicamente información personal de una persona sin su consentimiento, normalmente a través de internet.
La información publicada puede incluir datos como: número de teléfono, dirección postal, dirección de correo electrónico, lugar de trabajo, fotografías, datos familiares e información financiera o profesional
El objetivo suele ser exponer públicamente a una persona, generar presión social contra ella o incluso facilitar situaciones de acoso, amenazas o intimidación.
En muchos casos, el problema no es solo la obtención de la información, sino la forma en que se publica y el contexto en el que se difunde.
No siempre hay un hackeo detrás
Uno de los aspectos más relevantes del doxing es que no siempre implica un ciberataque. De hecho, muchas veces la información se obtiene mediante lo que se conoce como inteligencia de fuentes abiertas (OSINT), es decir, recopilando datos disponibles en: redes sociales, páginas web públicas, registros accesibles en internet y/o foros o plataformas digitales
El problema surge cuando esa información, aunque esté dispersa o parcialmente accesible, se organiza y se publica de forma que permite identificar o localizar fácilmente a una persona.
Que un dato esté disponible públicamente no significa que pueda difundirse libremente sin consecuencias jurídicas.
Implicaciones legales en materia de protección de datos
Desde el punto de vista jurídico, el doxing puede entrar en conflicto con varios derechos fundamentales, especialmente con:
- El derecho a la protección de datos personales
- El derecho a la intimidad
- El derecho al honor
El Reglamento General de Protección de Datos (RGPD) establece que cualquier tratamiento de datos personales debe tener una base jurídica válida, como el consentimiento del interesado o el cumplimiento de una obligación legal.
Publicar datos personales en internet sin una base legítima puede constituir un tratamiento ilícito de datos personales.
Además, el RGPD establece principios clave que pueden verse vulnerados en casos de doxing, como: limitación de la finalidad, minimización de datos e integridad y confidencialidad
Cuando la difusión de datos provoca un perjuicio para la persona afectada, la situación puede derivar en responsabilidades administrativas e incluso civiles o penales.
El impacto del doxing puede ser muy significativo. La publicación masiva de datos personales puede provocar situaciones como: acoso en redes sociales, amenazas o intimidación, daños reputacionales, suplantación de identidad y/o riesgos para la seguridad personal o familiar
En algunos casos, el doxing se utiliza como herramienta de presión contra periodistas, profesionales, funcionarios o personas que participan en debates públicos.
Por eso, organismos de ciberseguridad y autoridades de protección de datos están alertando cada vez más sobre esta práctica.
Qué pueden hacer las empresas y profesionales
Aunque el doxing suele asociarse a conflictos entre particulares, también puede afectar a organizaciones y empresas. La difusión indebida de datos de empleados, clientes o colaboradores puede generar responsabilidades legales importantes.
Desde la perspectiva del cumplimiento normativo, es recomendable adoptar medidas como: políticas internas de uso de redes sociales, formación en privacidad y seguridad de la información, protocolos para gestionar incidentes de exposición de datos y revisión de la información personal publicada en entornos corporativos
Estas medidas forman parte del principio de responsabilidad proactiva establecido en el RGPD, que exige a las organizaciones no solo cumplir la normativa, sino también demostrar que han adoptado medidas adecuadas para proteger los datos personales.
Una cuestión de cultura digital
El auge del doxing refleja un problema más amplio relacionado con la cultura digital actual: la tendencia a compartir y difundir información personal sin valorar sus posibles consecuencias.
La protección de datos no se limita a evitar ciberataques o cumplir requisitos legales. También implica promover una cultura de respeto hacia la información personal de los demás.
En un entorno donde cada vez circula más información en internet, recordar este principio es más importante que nunca: los datos personales pertenecen a las personas, y su difusión debe realizarse siempre con responsabilidad y respeto a la legalidad.