Romina Garrido, directora de la Fundación Datos Protegidos, nos habla más sobre el robo de datos personales, cómo se está abordando en Chile y cómo afecta a las personas naturales. Era frecuente que en Chile se informara de manera muy discreta sobre las vulnerabilidades de seguridad de las bases de datos, públicas o privadas. Recordemos […]
Para las empresas el robo de datos tiene un efecto en los consumidores que se traduce en la pérdida de confianza, en efecto para el 72% de los consumidores cambia para peor la percepción de la marca y un 12% sencillamente no volverá a confiar.
La seguridad informática se transformó en un “problema” necesario de abordar, dado el crecimiento de la sociedad a la par con el avance tecnológico. Se trata no solo de hacer frente a las vulnerabilidades tecnológicas, sino también de la falta de inversión en infraestructura de seguridad en los sistemas, o ciberseguridad lo que los hace blanco a las empresas de ataques, hackeos, destrucción y descargas indebidas de información, por mencionar algunos daños. ¿Y las personas que podemos hacer?
¿Qué posibilidades tiene un ciudadano común, que es dañado por un incidente de seguridad, de demostrar la negligencia ante una vulneración de seguridad informática?
Hoy, si se trata de vulneraciones a bancos de datos que contienen informaciones personales, las posibilidades de hacer algo, o de saber qué pasa con nuestros datos, son bajas. La ley que regula esta cuestión, ley 19.628 sobre protección de datos personales, invirtió la carga probatoria teniendo que el afectado “aportar” antecedentes de la negligencia de la empresa afectada, si es que la persona sufre algún daño concreto y desea reclamar o ser indemnizado. Y peor aún, solo sabemos de estos incidentes por filtraciones y avisos de terceros, no directamente de las personas responsables.
Actualmente se tramita la reforma más profunda a la ley de datos personales la cual no contempló expresamente la obligación de seguridad en los datos. Se trata de los boletines 11092-07 y 11144-07, cuyos textos se basan, respectivamente, en el Reglamento Europeo de Protección de Datos, una norma europea aplicable a todo el territorio de la Unión, que viene a reemplazar las regulaciones locales por un estándar superior; y en los principios promovidos por la OECD, organización de la que Chile forma parte desde 2010, y con la cual contrajo compromisos internacionales para mejorar el estándar de legislación de privacidad.
Una de las cuestiones centrales para hacer realidad la protección de datos es la seguridad de estos. Las leyes de protección de datos reconocen la seguridad como una obligación objetiva del responsable, no es una intención ni una actitud a su arbitrio o algo que esté dentro de sus posibilidades.
Se trata de medidas concretas, técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Hoy las modernas legislaciones reconocen el enfoque basado en riesgos. Esto significa que no hay un estándar fijo, si no que cada responsable de datos deberá evaluar los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse, habida cuenta de las técnicas existentes y de los costos asociados a su implementación.
Una de las principales novedades y que afectará a la industria que hoy en día actúa en completa opacidad respecto a este tema es que los responsables deberán notificar las vulneraciones o brechas de seguridad al futuro ente de control y además deberá informarse a los afectados. El proyecto dispone un plazo y fuertes sanciones que pueden llegar hasta 10.000 UTM. Esta es también una medida de transparencia.
La normativa de protección de datos se traduce entonces en incentivos concretos para invertir en seguridad, y así enfrentar de mejor manera vulnerabilidades y mantener los sistemas en constante revisión. Las organizaciones deberán implementar seguridad no solo por el valor económico de los datos personales, sino además, por que estará en riesgo su reputación, la confianza con los clientes puesto que como responsable de las bases de datos, son sus custodios y los datos pertenecen a sus titulares.
El grupo de inteligencia de Cisco, Talos, suele realizar un estudio sobre las amenazas informáticas más prevalentes de cada semana. Durante la semana del 30 al 7 de diciembre se continuó observando la fuerte actividad de Emotet, el malware bancario que atacó a la banca en Chile, pero ingresaron a la lista nuevos actores.
El grupo de inteligencia de Cisco, Talos, semanalmente nos provee con información respecto de las amenazas que más han prevalecido. Durante el período entre el 7 y 14 de diciembre, estos malwares se tomaron la semana!