Seguridad y datos personales
La creciente dependencia en sistemas digitales de información para operar gran parte de nuestra vida, y el riesgo que involucra para las personas y empresas la violación de esos sistemas y la filtración o robo de los datos personales contenidos en ellos, han provocado que la seguridad de redes informáticas que procesan datos personales sea un tópico sumamente contingente en la actualidad.
La seguridad de la información se ha basado en la triada clásica que comprende la confidencialidad, integridad y disponibilidad. Se ha entendido que el compromiso de alguno de estos elementos supone, al menos, una vulneración en la seguridad de los datos (Laube y Böhme, 2016: 29).
Este vínculo entre seguridad y protección de datos personales es estrecho y se ha manifestado, entre otras cosas, en que uno de los principios del tratamiento de datos personales sea el principio de seguridad. La proliferación en el uso de sistemas digitales ha llevado precisamente a asumirlo, hoy en día, como uno de los fundamentales. Esto ha sido reconocido en todo el mundo, incluyendo los principios para el tratamiento de datos personales de la Organización para la Cooperación y el Desarrollo Económico (“OCDE”) de 1980 y su revisión del año 2013, la Directiva Europea 95/46/CE sobre datos personales, el Reglamento Europeo de Protección de Datos (“GDPR”, por sus siglas en inglés), y en las guías de privacidad de la APEC.
Esta relación datos-seguridad no sólo ha quedado en el ámbito de los principios, sino que también ha derivado en obligaciones concretas para los responsables y procesadores de datos personales que, en la mayoría de las regulaciones modernas, deben implementar medidas de seguridad acordes con el estado de la técnica, y a reportar a autoridades y/o a titulares las vulneraciones que puedan sufrir sus bases de datos. Esta clase de obligaciones se puede encontrar en el GDPR y en la Ley de Transferencia y Responsabilidad de Seguro Médico (“HIPPA”, por sus siglas en inglés) de Estados Unidos, por dar algunos ejemplos.
En Chile, la regulación todavía no se ha hecho cargo de manera seria del establecimiento de obligaciones concretas relacionadas con la seguridad en los sistemas digitales que procesan datos personales. Sin embargo, existen iniciativas a nivel de políticas públicas y de proyectos de ley que buscan cambiar esta tendencia. Una es la Política Nacional de Ciberseguridad (“PNCS”) fue presentada por el Gobierno el 27 de abril de este año y otra es el proyecto de ley que busca modificar la legislación sobre datos personales en Chile, y que introduce obligaciones específicas de seguridad para las empresas (Boletines 11.144-07 y 11.092-07 refundidos, el “Proyecto de Ley”).
Entre las medidas que incluye la PNCS para el periodo 2017-2018 se encuentran precisamente las de avanzar con un proyecto de ley de ciberseguridad que establezca una institucionalidad en la materia y que diseñe un mecanismo de manejo de incidentes; así como la de avanzar en una nueva ley de datos personales que considere un órgano específico con facultades de imponer requisitos de seguridad y de notificación de filtraciones de datos para los responsables.
Bajo este panorama, resulta interesante observar lo que está ocurriendo en Chile en relación a la seguridad de los datos personales que son tratados por medio de redes digitales, y aquellas obligaciones y requisitos que, en ese sentido, está proponiendo el Proyecto de Ley que busca modificar la legislación de protección de datos personales vigente.
Situación regulatoria actual en Chile
La actual legislación de protección de datos en Chile, la Ley N° 19.628 sobre Protección de la Vida Privada (“LPD”), sólo contempla una obligación general de seguridad de datos que le impone al responsable de la base de datos en su artículo 11 “cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Esta obligación no contiene medidas concretas de seguridad que deben aplicarse por el responsable, dejando en los tribunales ordinarios de justicia la labor de determinar -caso a caso- si las medidas fueron o no apropiadas (Cerda, 2012: 26).
En un caso reciente donde se evaluó este estándar de seguridad ante el 16° Juzgado Civil de Santiago (causa Rol C-29221-2015), se condenó al demandado al pago de una indemnización por concepto de daño moral. Los hechos que derivaron en esta acción fueron, en términos simples, el abandono de documentación que contenía datos personales en la vía pública. A criterio del tribunal, esta situación implicó una infracción a los artículos 6 y 11 de la LPD y cuyo daño correspondía reparar conforme al artículo 23 de esa misma ley.
Esta obligación general podría cambiar próximamente en virtud del contenido del Proyecto de Ley que busca modificar la regulación actual de la LPD. Este Proyecto de Ley se originó en virtud de la fusión de dos proyectos distintos, uno presentado por el gobierno de la Presidenta Bachelet y otro presentado por los Honorables Senadores Harboe, Araya, De Urresti, Espina y Larraín. En este punto, el Proyecto de Ley busca mejorar el actual estándar de seguridad de los datos que son tratados en Chile, modificando la regulación vigente.
El Proyecto de Ley contempla las siguientes disposiciones respecto a la seguridad en el tratamiento de los datos personales, que deberá observar el responsable:
La inclusión de un “Principio de Seguridad”
Este nuevo principio implicará la obligación para el responsable de:
- Garantizar niveles adecuados de seguridad;
- Proteger los datos que trata contra el tratamiento no autorizado, la pérdida, la filtración, la destrucción o el daño; y, por último,
- Aplicar medidas técnicas u organizativas apropiadas.
De acuerdo al artículo 14 del Proyecto de Ley, es obligación del responsable cumplir con los principios establecidos en la ley.
El establecimiento de la obligación de “Adoptar medidas de seguridad”
Esta obligación se adopta desde tres perspectivas:
- Las consideraciones que deberá tener el responsable a la hora de implementar las medidas.Las medidas de seguridad deben considerar: (i) El estado actual de la técnica y los costos de aplicación; (ii) La naturaleza, alcance, contexto y fines del tratamiento de datos; (iii) La probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos; (iv) El nivel de criticidad de las bases de datos en caso de manejar bases con distintos niveles y, en ese caso, implementar las medidas del nivel más alto.
- Los objetivos que tendrán las medidas de seguridad implementadas:Las medidas de seguridad deben: (i) Resguardar el cumplimiento del Principio de Seguridad y; (ii) Asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos.
- El estándar de cumplimiento de estas medidas de seguridad:Las condiciones mínimas de cumplimiento de la obligación de adoptar medidas de seguridad serán determinadas por: (i) La calidad del responsable de datos (persona natural o jurídica); (ii) El tamaño de la entidad o empresa; (iii) El volumen de los datos personales tratados; y (iv) Las finalidades del tratamiento.Según establece el Proyecto, estos estándares de cumplimiento serán especificados por un reglamento.
El establecimiento de la obligación de “Reportar y registrar vulneraciones a las medidas de seguridad”
Se establece una obligación de reportar a la Agencia de Protección de Datos Personales (“Agencia”) la existencia de:
- Vulneraciones a medidas de seguridad que ocasionen destrucción; filtración; pérdida; o alteración de los datos que trate; o
- Comunicación o acceso no autorizado a esos mismos datos.
El reporte debe hacerse por los medios más expeditos posibles y sin dilaciones indebidas cuando exista un riesgo razonable de que, con ocasión de estos incidentes, se genere un perjuicio o afectación para los titulares.
Además, se genera una obligación de registrar: (i) La naturaleza de las vulneraciones; (ii) Los efectos de las vulneraciones; (iii) Las categorías de datos afectados; (iv) El número de titulares afectados; y, (v) Las medidas adoptadas para gestionar las vulneraciones y precaver incidentes futuros.
Por último, los responsables de los datos deben notificar a los titulares de los datos en caso que las vulneraciones involucren datos personales sensibles o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable. En este caso, la notificación deberá: (i) Estar escrita en lenguaje claro y sencillo; (ii) Incluir una singularización de los datos afectados; (iii) Señalar las posibles consecuencias de las vulneraciones; y (iv) Señalar las medidas de solución o resguardo adoptadas.
La incorporación de obligaciones de seguridad para el mandatario en el tratamiento de datos personales
En el caso que un tratamiento de datos se efectúe a través de un mandatario, este último deberá cumplir con las mismas obligaciones del responsable de adoptar medidas de seguridad, y de reportar y registrar vulneraciones.
Infracciones específicas vinculadas a la seguridad de los datos personales
En el Proyecto de Ley serán infracciones graves (multa de 51 a 500 unidades tributarias mensuales) las siguientes:
- Vulnerar en el tratamiento de datos el Principio de Seguridad;
- No adoptar medidas de seguridad adecuadas, necesarias y oportunas; y
- No cumplir las obligaciones de registro y reporte de vulneraciones a las medidas de seguridad.
Por su parte, se considerará infracción gravísima (multa de 501 a 5.000 unidades tributarias mensuales) la no comunicación oportuna de la vulneración de medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales, habiendo estado en conocimiento de ello y disponiendo de los medios para hacerlo.
A modo ilustrativo, el planteamiento que hace el Proyecto de Ley en materia de seguridad de datos personales lo podemos esquematizar de la siguiente forma:
Conclusiones
El incremento de los incidentes de seguridad en las redes que procesan datos personales ha puesto urgencia a la necesidad de avanzar en mejores prácticas y regulación en materia de ciberseguridad.
La PNCS es un primer paso en la búsqueda de mejoras en la regulación de la ciberseguridad en Chile, considerando entre sus medidas la preparación y envío al Congreso de un proyecto de ley que consolide una institucionalidad y regule el manejo de incidentes de seguridad informática.
Por su parte, la regulación de seguridad de los datos personales que propone el Proyecto de Ley también busca avanzar en esa misma línea, incorporando a la legislación nuevos conceptos y obligaciones para el tratamiento de datos personales que se realice en Chile.
Según vimos, la regulación propuesta por el Proyecto de Ley se basa fundamentalmente en obligaciones de medios para el responsable y el mandatario, que radican en el establecimiento de medidas “apropiadas” de seguridad en consideración a diversos factores, tales como la naturaleza, alcance, contexto y fines del tratamiento de datos; y la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de dato.
Como sabemos, la seguridad absoluta no puede garantizarse, y los recursos de las entidades que hacen tratamiento de datos no son ilimitados. En este sentido, la futura Agencia que tenga por función velar por el cumplimiento de estas medidas debería tener como eje una buena gestión de riesgos en materia de seguridad; e incentivar, al mismo tiempo, ese aproximamiento por parte de los responsables y los mandatarios.
Tal vez sería adecuado incorporar a las obligaciones sobre seguridad el concepto de proporcionalidad y razonabilidad de las medidas. Algo similar, por ejemplo, a lo que ya está comprendido en la Directiva NIS de la Unión Europea (2016/1148 sobre seguridad de las redes y sistemas de información) que en su preámbulo 53 señala que los requisitos que se impongan deben ser proporcionados en relación con los riesgos.
En cuanto a la regulación sobre reporte y registro de vulneraciones de seguridad, sería adecuado buscar la generación de obligaciones concretas y realistas, sobre todo, respecto de los hechos detonantes de esta obligación. La Agencia debería adoptar una posición clara respecto de los incidentes sujetos a reporte, y garantizar la confidencialidad de la información que sea recibida por parte de los responsables y agentes en el tratamiento.
Referencias
Cerda, Alberto; Legislación sobre Protección de las Personas frente al Tratamiento de Datos Personales. Facultad de Derecho de la Universidad de Chile. Centro de Estudios en Derecho Informático 2012.
Stefan Laube, Rainer Böhme; The economics of mandatory security breach reporting to authorities. J Cyber Secur 2016; 2 (1): 29-41. doi: 10.1093/cybsec/tyw002