Suscripción edición especial
enero 10, 2023
Calendario RNBD 2023
enero 19, 2023
Estamos entendiendo a las malas, que el derecho fundamental a la protección de los datos personales es la puerta de entrada a la protección de otros derechos fundamentales; a medida de que la sociedad se digitaliza, la prestación y garantía de estos derechos también se transforman para ser prestados y garantizados en plataformas digitales, y si no se estan exigiendo requisitos mínimos de seguridad, pues estaremos amplificando la violación de estos derechos.
Los ciberataques por su complejidad se estudian y analizan desde muchos enfoques, para que quede claro, esta reflexión se aborda desde los derechos fundamentales.
Desde hace algunos meses hemos venido escuchando ciberataques a organizaciones de salud, de servicios públicos, instituciones del Estado, Universidades; todas tienen en común: la falta de claridad y comunicación a los usuarios y/o ciudadanos afectados. La información que se logra tener acceso es por algún periodista preocupado por estos temas, por los escuetos comunicados de prensa de las organizaciones, también por el aluvión de quejas de usuarios en redes sociales, qué los noticieros finalmente deciden difundir. Nadie está exento de un ciberataque, ni las mejores compañías se salvan de estos delincuentes, pero si una organización maneja datos personales, le asiste deberes sobre los mismos.
Sin embargo, escribo estas líneas, como ciudadana preocupada, debido a que al día de hoy, no ha pasado absolutamente nada, no hay pronunciamientos por parte de entidades públicas que pueden tener competencia en una eventual investigación, aunque no se trata de adelantar investigaciones, o sancionar por el hecho de hacerlo, es un secreto a voces que en muchas compañías subestiman la inversión en ciberseguridad. No obstante, las investigaciones vienen posterior al ciberataque. De aquí a que exista una investigación que aclare lo sucedido, ¿no sería lo mínimo que existiera una obligación legal por parte de las organizaciones en informar y comunicar a sus titulares (empleados, usuarios, proveedores, clientes) de que deben hacer, que medidas deben tomar? Es decir, que ¿herramientas tempranas puede brindar la misma organización afectada para reducir el impacto del incidente dirigidas a los titulares de la información?
¿Hay obligación legal de notificar al titular del dato cuando su información ha sido comprometida por un incidente de seguridad?
La Guía de Responsabilidad Demostrada establece que:
“…es importante que las organizaciones implementen mecanismos que les permitan comunicarse de manera eficiente con los Titulares afectados para (I) Informarles sobre el incidente de seguridad relacionado con sus datos personales y las posibles consecuencias y (II) proporcionar herramientas a dichos Titulares afectados para minimizar el daño potencial o causado”
En la Guía de Incidentes de seguridad de la SIC establece que:
“La comunicación a los Titulares de la Información brinda la oportunidad para que los mismos puedan adoptar las medidas necesarias para protegerse de las consecuencias de un incidente de seguridad. Por ejemplo, cambiar su nombre de usuario y contraseña: monitorear el historial crediticio, cancelar su tarjeta de crédito, etc.
La guía establece que si la organización “decide” comunicar el incidente de seguridad a los titulares deberán abordar los siguientes interrogantes
¿Cuándo comunicar? ¿Cómo comunicar? ¿Quién debe comunicar ?¿Qué debe incluirse en la comunicación?
Las comunicaciones deben ser suficientemente claras y precisas para permitir que los Titulares de la información comprendan la importancia del incidente y que tomen las medidas, si es posible, para reducir los riesgos que podría resultar de su ocurrencia”
Legalmente no es obligatorio notificar, no obstante, en virtud del cumplimiento del principio de responsabilidad demostrada se debería hacer. Muchas organizaciones se amparan en este vacío legal, por lo que queda a su discreción, de hecho, la misma guía de la SIC, establece que “si la organización decide notificar el incidente” es decir, si quiere hágalo, sino no. Pero ¿Qué tan ético es no notificar a los titulares de la información? Son datos personales, que están en cualquier lado, que posteriormente serán usados o que generará afectaciones posteriores. No se trata de que si es es un deber legal o no, se trata de que es lo mejor para la persona, quien una vez notificada, podrá desplegar acciones para evitar un riesgo mayor, por eso es importante, notificar a tiempo, pues una notificación a destiempo, es una no notificación, debido a que posiblemente los cambios que se quieran hacer son tardíos.
Por supuesto, esta discusión tiene de ancho y largo, y se puede ver desde muchos enfoques, está claro que las organizaciones piensan mucho en este aspecto, precisamente por el impacto reputacional que puede recaer sobre ellas. No obstante, esta discusión también debe estar centrada en las personas, no solamente desde la organización, se requiere un enfoque de derechos humanos; los invito a que revisen en las redes sociales, en especial, en Twitter con cualquier hashtag de las empresas que han sido víctimas de ciberataques, sobre el impacto que han tenido sobre las personas en la denegación del servicio. Estamos entendiendo a las malas que el derecho fundamental a la protección de los datos personales de los ciudadanos es la puerta de entrada a la protección de otros derechos fundamentales; a medida de que la sociedad se digitaliza, la prestación y garantía de estos derechos también se transforman para ser prestados y garantizados en plataformas digitales, y si no se estan exigiendo requisitos mínimos de seguridad, pues estaremos amplificando la violación de otros derechos
No en vano, el derecho a una seguridad digital y su exigencia de garantía por parte de las organizaciones públicas y privadas, quedó plasmado en la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital, apenas hace un mes publicada.
Finalmente, Colombia tiene una cantidad de aspectos por mejorar, tenemos una ley en exceso garantista, pero que no establece la obligación de las organizaciones de notificar a los titulares cuando sus datos personales se han visto comprometidos, cómo si se encuentra esta exigencia en la mayoría de legislaciones modernas. Como posibles alternativas, se pueden establecer instrumentos vinculantes que exijan a las organizaciones públicas y privadas la notificación a los ciudadanos en caso de incidentes, pero también, exigencia de que los sistemas y tecnología estén pensadas en la privacidad desde el diseño (planeación) y por defecto, que la privacidad no sea una capa añadida, para ver donde cuadra.
