Brechas de seguridad: Cómo prevenirlas desde la perspectiva de la Ley 1581 de 2012
Recientemente, hubo una brecha de seguridad en la empresa colombiana Mensajeros Urbanos (plataforma para efectuar domicilios por internet), exponiéndose así, 2.4 millones de datos almacenados en el servidor en línea recogía la información depositada. Las empresas se exponen a fallas en su seguridad, y por consiguiente perjudican a los titulares al no implementar de manera correcta una infraestructura jurídica en protección de datos personales. En la normatividad Colombiana referente a la Protección de Datos Personales (Ley 1581 de 2012), debemos tener en cuenta que para el tratamiento de datos se requiere planificar e implementar medidas de seguridad pertinentes para cada proceso. De esta manera, el artículo 17 de la Ley 1581 de 2012 alude a los deberes que tienen los responsables del tratamiento de los datos para así garantizar los derechos de los titulares, enfatizando en el literal ‘n’ la obligación de notificar sobre las a la entidad competente, que en este caso es la Superintendencia de Industria y Comercio, el cual expresa lo siguiente: “n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.” Sin embargo, el artículo no desarrolla de manera expresa las medidas de seguridad que se deben implementar para la protección de los datos, de esto se infiere que deben ser acorde con el tipo de tratamiento y atenerse a las situaciones particulares según el requerimiento de cada empresa, incluyendo el tratamiento de datos personales a través de Portales Web de ingreso masivo. En la resolución 21478 de 2019, la Superintendencia de Industria y Comercio Sanciona a la empresa propietaria de la Aplicación Uber, por no contar con las medidas necesarias para la protección de los datos de los titulares, ante esta necesidad, la SIC* en la mentada resolución estipula unas medidas básicas de seguridad en cuanto al tratamiento de datos personales a través de App’s y portales Web, tales como las siguientes: Mecanismos de autenticación de usuarios y cifrado de información. Implementar test de seguridad de contraseñas. Inventariar información de las bases de datos, de información de personas reales e información para el desarrollo de la aplicación. Capacitar al personal en cuanto a la protección de datos personales, con el fin de fomentar una cultura de respeto y responsabilidad. Evaluar riesgos en cuanto a la protección de datos personales y elaborar planes de acción eficaces frente a las posibles contingencias. Hallar las vulnerabilidades del sistema para poder corregirlas (para ello recomiendo la realización de un proceso de Autoría en Protección de Datos, con el fin de verificar los controles implementados y evaluar vulnerabilidades). Implementar medidas de organización a nivel empresarial para ser aplicadas en todas las fases de programación en la aplicación móvil. Esto, con el fin de evitar vulnerar los derechos de los titulares en cuanto al tratamiento de sus datos personales, dado que este tipo de programas, y todo aquello que se realice mediante internet, es susceptible de fraude o de robo de datos por piratas informáticos, puesto que las brechas de seguridad ponen no sólo en peligro la información de los titulares, sino datos personales sensibles de niños, niñas y adolescentes, que en gran medida pueden causar un perjuicio irremediable. Se hace énfasis en la importancia de fortalecer el sistema de seguridad en cuanto al tratamiento de los datos personales de quienes ingresan a este tipo de plataformas (en ello incluimos a todo aquel que deposite sus datos en dicho portal), adecuando las políticas de protección de datos personales y procedimientos de tratamiento de datos personales a lo establecido en la ley 1581 de 2012 y sus decretos reglamentarios. La Ley de Protección de Datos Personales en su artículo 18, literal b), expresa lo siguiente “b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;”, entendiendo que las empresas deben establecer procedimientos específicos de conservación de los datos para evitar pérdida de los mismos por brechas en la seguridad, priorizando los derechos de dichos titulares. Para ampliar nuestro espectro sobre el tema, podemos citar el caso de Colmedica, en el cual la SIC* sancionó a través de la resolución 39298 de 2016 a dicha empresa por la exposición injustificada y masiva sensible de salud por internet, poniendo en riesgo la privacidad e integridad de los pacientes que se cobijaban bajo ese sistema. Ahora bien, estos programas de gestión y manejo de incidentes de seguridad en datos personales deben ser evaluados de manera periódica a través de Auditorias, para poder identificar en la práctica las vulnerabilidades y robustecer aquellos puntos débiles que pueden desatar un posible fallo de seguridad, para esta labor, la SIC* publicó la Guía de Accountability o por su traducción Responsabilidad demostrada, que funge como herramienta de coordinación y establece las pautas adecuadas a nivel administrativo para demostrar el cumplimiento legal. De igual manera, es menester fomentar una cultura de respeto en cuanto a la protección de datos a nivel organizacional a través de capacitaciones dinámicas y socializaciones de la ley de protección de datos personales, permitiendo así minimizar estas contingencias y promover un sentido de pertenencia y responsabilidad institucional.