Robo de datos en Chile

Era frecuente que en Chile se informara de manera muy discreta sobre las vulnerabilidades de seguridad de las bases de datos, públicas o privadas.

Recordemos que en mayo de 2008 la Brigada de Cibercrimen de la Policía de Investigaciones de Chile indagaba cómo se había producido la filtración de la base de datos de tres organismos públicos, dejando al descubierto los datos personales de más de seis millones de chilenos.

En 2013 un periódico nacional informaba que el 4 de noviembre de 2013, la Jefa de adopciones del Servicio Nacional de Menores, SENAME, recibió información de la Fundación San José, sobre que en internet circulaban datos relativos a niños y niñas y sus familias adoptivas, relacionados a links abiertos del SENAME. El organismo “bajó” de inmediato los datos, pero de nada sirvió porque de todas maneras era posible hallarlos por Google. Sin embargo, con el correr de los años, con una economía cada vez más digitalizada, en 2018 el robo de tarjetas de crédito y el “asalto” cibernético a bancos de la plaza golpeó duramente a la industria.

Para las empresas el robo de datos tiene un efecto en los consumidores que se traduce en la pérdida de confianza, en efecto para el 72% de los consumidores cambia para peor la percepción de la marca y un 12% sencillamente no volverá a confiar.

La seguridad informática se transformó en un “problema” necesario de abordar, dado el crecimiento de la sociedad a la par con el avance tecnológico. Se trata no solo de hacer frente a las vulnerabilidades tecnológicas, sino también de la falta de inversión en infraestructura de seguridad en los sistemas, o ciberseguridad lo que los hace blanco a las empresas de ataques, hackeos, destrucción y descargas indebidas de información, por mencionar algunos daños. ¿Y las personas que podemos hacer?

¿Qué posibilidades tiene un ciudadano común, que es dañado por un incidente de seguridad, de demostrar la negligencia ante una vulneración de seguridad informática?

Hoy, si se trata de vulneraciones a bancos de datos que contienen informaciones personales, las posibilidades de hacer algo, o de saber qué pasa con nuestros datos, son bajas. La ley que regula esta cuestión, ley 19.628 sobre protección de datos personales, invirtió la carga probatoria teniendo que el afectado “aportar” antecedentes de la negligencia de la empresa afectada, si es que la persona sufre algún daño concreto y desea reclamar o ser indemnizado. Y peor aún, solo sabemos de estos incidentes por filtraciones y avisos de terceros, no directamente de las personas responsables.

Actualmente se tramita la reforma más profunda a la ley de datos personales, la cual no contempló expresamente la obligación de seguridad en los datos. Se trata de los boletines 11092-07 y 11144-07, cuyos textos se basan, respectivamente, en el Reglamento Europeo de Protección de Datos, una norma europea aplicable a todo el territorio de la Unión, que viene a reemplazar las regulaciones locales por un estándar superior; y en los principios promovidos por la OECD, organización de la que Chile forma parte desde 2010, y con la cual contrajo compromisos internacionales para mejorar el estándar de legislación de privacidad.

Si bien no sabemos qué resultará de estas reformas cuya tramitación es incipiente, los eventos de brechas de datos de 2018 han acelerado esta cuestión y han relevado el asunto del manejo de datos al foco de la ciberseguridad.

Una de las cuestiones centrales para hacer realidad la protección de datos es la seguridad de estos. Las leyes de protección de datos reconocen la seguridad como una obligación objetiva del responsable, no es una intención ni una actitud a su arbitrio o algo que esté dentro de sus posibilidades.

Se trata de medidas concretas, técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Hoy las modernas legislaciones reconocen el enfoque basado en riesgos. Esto significa que no hay un estándar fijo, si no que cada responsable de datos deberá evaluar los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse, habida cuenta de las técnicas existentes y de los costos asociados a su implementación.

Una de las principales novedades y que afectará a la industria que hoy en día actúa en completa opacidad respecto a este tema es que los responsables deberán notificar las vulneraciones o brechas de seguridad al futuro ente de control y además deberá informarse a los afectados. El proyecto dispone un plazo y fuertes sanciones que pueden llegar hasta 10.000 UTM. Esta es también una medida de transparencia.

La normativa de protección de datos se traduce entonces en incentivos concretos para invertir en seguridad, y así enfrentar de mejor manera vulnerabilidades y mantener los sistemas en constante revisión. Las organizaciones deberán implementar seguridad no solo por el valor económico de los datos personales, sino además, por que estará en riesgo su reputación, la confianza con los clientes puesto que como responsable de las bases de datos, son sus custodios y los datos pertenecen a sus titulares.

Artículo escrito en diciembre 2018 para el