Pasados los primeros días de
incertidumbre, y hasta de algún grado de pánico, es importante
preguntarnos sobre el papel que deben cumplir los Estados frente a
este tipo de conductas. La primera respuesta podría ser, siguiendo
alguna inercia cultural referida a vulneraciones a nuestra
seguridad, sencilla: prevenir el ataque y, ocurrido el hecho,
castigar a los responsables de posibles actos ilícitos. Pero me
permito agregar algo más: los gobiernos deben contribuir mediante
regulaciones adecuadas a un control del daño que el ataque provoca,
sobre todo cuando nuestros datos personales, incluso a veces de
carácter sensible, son afectados.
Ese control de daños puede llevarse a la práctica de una manera
simple: efectuado el ataque, merecemos como mínimo saber que el
ataque ocurrió, si nuestros datos han sido afectados y qué medidas
podemos tomar al respecto. Ello puede permitir actuar para evitar
que ocurran, o continúen, los perjuicios.
En la mayoría de los casos, quienes están en condiciones de dar
esa información son los propios responsables de las bases de datos.
En ellos, y con consentimiento mediante, hemos depositado nuestra
confianza para que hagan un tratamiento de nuestros datos siguiendo
las finalidades para las cuales se los dimos. En Argentina, la
obligación de informar este tipo de incidentes no se encuentra
legalmente establecida.
Esta es una de las tantas modificaciones legislativas incluidas en
un anteproyecto de ley propuesto por la Dirección Nacional de
Protección de Datos Personales para modificar la ley vigente en
esta materia. A comienzos de 2017, el anteproyecto fue objeto de
una consulta pública abierta en el marco del programa Justicia 2020
del Ministerio de Justicia y Derechos Humanos de la Nación. En ese
marco se recibieron numerosas observaciones que llevaron a
sensibles modificaciones a la versión original, aunque en el tema
que estamos tratando hubo bastante acuerdo en la necesidad de
incorporar la obligación de informar.
Sin perjuicio de que esta nueva versión es reciente y algunos
aspectos siguen bajo estudio, es importante destacar que define que
un incidente de seguridad de datos personales es "cualquier hecho
ocurrido en cualquier fase del tratamiento de datos que implique la
pérdida o la destrucción no autorizada, el robo, el extravío o la
copia no autorizada, el uso, el acceso o el tratamiento de datos no
autorizado, o el daño, la alteración o la modificación no
autorizada". En segundo lugar, el proyecto estipula que, una vez
que ocurre el incidente de seguridad, el responsable del
tratamiento de datos debe notificarlo a la autoridad de control y
al titular de los datos sin dilación indebida una vez que haya
tenido constancia del incidente. La falta de notificación puede
acarrear, según se dispone en la normativa propuesta, sanciones
pecuniarias para el responsable que omite tal notificación de
manera injustificada.
Estas disposiciones son consistentes con lo que estipulan las
leyes más avanzadas de protección de datos personales a nivel
global. Por ejemplo, el nuevo Reglamento Europeo de Protección de
Datos, que empezará a regir como obligatorio en el ámbito de la
Unión Europea a partir del año próximo, impone una obligación
similar.
Por supuesto que la notificación, tanto a una autoridad de control
como a la Dirección Nacional de Protección de Datos Personales, al
titular de los datos, por sí sola no minimiza en todos los casos
los daños que el ataque puede haber producido o la continuación del
daño o del ataque mismo. Pero hasta intuitivamente es fácil
advertir que si algo fuera de lo común pasara con nuestros datos
personales, nuestra preferencia sería saberlo para, al menos,
evaluar los cursos de acción a seguir.
Ya que la legislación actual no tiene prevista esta obligación,
hoy la única herramienta con la que cuenta la Dirección es iniciar
investigaciones de oficio cuando, en casos en que puede presumirse
gravedad, los medios de comunicación hayan puesto en evidencia un
ciberataque.
Este cambio a la ley actual, así como otros propuestos, es
necesario para adecuar una legislación que ya tiene más de quince
años de vigencia a circunstancias y conductas que, al momento de su
sanción, eran inexistentes. También sirve para adecuar la
legislación argentina a los estándares internacionales. El impulso
dado por el propio Presidente de la Nación, quien anunció al abrir
las sesiones legislativas de este año la decisión del Poder
Ejecutivo de enviar al Congreso un proyecto de reforma a la actual
ley de protección de datos personales es, a no dudarlo, una buena
noticia.
(*) El autor es director de la Dirección Nacional de Protección de
Datos Personales. Profesor de Ciberespacio y Delito, Universidad
Torcuato Di Tella y Global Professor, New York
University.
Dr.Eduardo Bertoni
25 de mayo de 2017
http://www.infobae.com/opinion/2017/05/25/ciberataques-y-control-de-danos/