Agencia de Datos revisa informe de McDonalds tras fuga de información de clientes

(CRHoy.com) La Agencia de Protección de Datos de los Habitantes (Prodhab) recibió un informe a la cadena de comidas rápidas McDonalds, sobre la fuga de información personal de algunos de sus clientes, anunciada el 15 de abril anterior.

El proceso lo confirmó la directora nacional del órgano adscrito al Ministerio de Justicia y Paz (MJP), Elizabeth Mora Elizondo, ante una consulta de CRHoy.com.

Mora Elizondo descartó que, al 19 de abril pasado, hubiese recibido alguna denuncia ciudadana por trato inadecuado de datos personales. "La empresa cumplió con enviar su reporte de vulneración mediante correo electrónico en el tiempo establecido según la normativa, y por ende, no fue necesario requerir ninguna información a la empresa. Desde la semana anterior, la Prodhab se encuentra analizando la información suministrada por McDonald´s para lo correspondiente", indicó Mora.

La compañía informó en un comunicado que un incidente sufrido por uno de sus proveedores permitió "el acceso no autorizado a datos personales de algunos clientes de McDonald's en Costa Rica". Entre la información "desprotegida" están, por ejemplo, nombres, estado civil, direcciones, e-mails, números de documento de identidad así como números de teléfono.

"Rechazamos esta actividad criminal y seguimos trabajando para reforzar la protección de los datos personales de nuestros clientes", enfatizó la empresa, antes de lamentar con los clientes los inconvenientes causados.

"En todo caso, recomendamos enfáticamente que usted también monitoree el uso de sus datos personales y esté atento en caso de recibir cualquier comunicación sospechosa a su número de teléfono o a su dirección de correo electrónico, que pueda contener links maliciosos o solicitudes improcedentes de información personal a nombre de McDonald's", agregó.

Esta semana, tras la consulta de este medio, indicaron que "debido a que la investigaciones en curso son confidenciales, no podemos brindar información en este momento. Tan pronto conocimos el incidente sufrido por uno de nuestros proveedores de servicios IT, Arcos Dorados Costa Rica, bajo el principio de transparencia y en cumplimiento con lo estipulado en la legislación costarricense, notificó a las autoridades costarricenses en tiempo y forma".

Aclararon además que no almacenan información sensible ni datos bancarios de los consumidores.

La Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales establece en su artículo 10 que el responsable de una base debe adoptar medidas técnicas y de organización a fin de garantizar la seguridad de la información de carácter personal y evitar su "alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado"; de lo contrario, la misma no deberá ser registrada.

Asimismo, el numeral 38 apunta que el responsable está obligado a informar al titular de los datos -y la Agencia- sobre cualquier irregularidad en el tratamiento o almacenamiento de su información, incluidos los casos de pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad. Para ello, la norma da un plazo de cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad. En ese periodo también debe realizarse una revisión para determinar la magnitud de la afectación.

En caso de que se den incumplimientos a esos ordinales, se prevén sanciones -en los artículos del 28 al 31- que van desde los 5 hasta los 30 salarios base de auxiliar judicial I; es decir, ¢2.311.000 hasta los ¢13.866.000. Además, en caso de faltas gravísimas, se dispone la suspensión para el funcionamiento del fichero por entre 1 y 6 meses.

"No obstante, y entretanto la investigación esté en curso, no haremos mayor referencia a este tema, dado que cualquier manifestación de nuestra parte podría ser considerada adelanto de criterio y esto afectaría la objetividad para resolver a futuro, aunado al hecho de que como se indica en la normativa citada, la base de datos tiene un plazo de 5 días hábiles para realizar la notificación respectiva", manifestó la directora nacional.

En caso de que usted tenga dudas sobre los procedimientos ante la Agencia de Protección de Datos, usted puede solventarlas al teléfono (+506) 2234-0189 o al correo electrónico info@prodhab.go.cr. Asimismo, McDonald's habilitó la dirección servicio.cliente@cr.med.com.

Tarjetas comprometidas

La Agencia de Protección de Datos de los Habitantes también se dijo enterada de una posible vulneración de sistemas de la empresa de casillero aéreo Aeropost.

El mismo fue informado por la propia compañía en una nota circulada a sus clientes, en el que alertaba sobre la posible exposición de datos de tarjetas bancarias de sus usuarios.

"Lamentamos informarle que la tarjeta de crédito que tiene almacenada en nuestro sistema pudo haber sido comprometida. A pesar de que nuestros sistemas almacenan la información de su tarjeta encriptada, es posible que haya intentos de cargos fraudulentos", dice el comunicado.

"Hasta el momento, la Agencia no ha sido informada de manera oficial por la compañía y tampoco se registra ninguna denuncia ciudadana al respecto", indicó su directora nacional, Elizabeth Mora Elizondo. "No es necesario todavía hacer el requerimiento de información. Esto debido a que se encuentra dentro del plazo de cinco días establecidos por normativa para que sea la misma compañía quien notifique a la Agencia lo correspondiente", agregó.

Aeropost recomendó a sus clientes revisar que no existan cargos sospechosos en sus tarjetas y que, en caso de encontrar alguno, los reporte con el emisor de la tarjeta. También invitó a cambiar las tarjetas.

"Como medida preventiva, hemos reiniciado las credenciales de su cuenta Aeropost y eliminado sus tarjetas almacenadas en nuestro sistema", indicó la compañía en la nota.

Al igual que lo hizo McDonald's, esta empresa habilitó el correo payments@aeropost.com para evacuar dudas de usuarios sobre el incidente.

CRHoy.com también tiene en trámite un cuestionario en la oficina de prensa de la compañía de casillero, del cual al momento de la redacción de este artículo no se había recibido respuesta.

Análisis clave

Ninguna de las empresas informó sobre los ataques sufridos al Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) o a la Dirección Nacional de Gobernanza Digital. Estas instancias tampoco establecieron contacto con las compañías, a pesar de los hackeos perpetrados por malware Conti en la última contra diferentes instituciones públicas costarricense.

Así lo dio a conocer la mañana de este lunes la titular del ramo, Paola Vega Castillo, ante una consulta de este medio, planteada en la conferencia de prensa sobre actualización de la situación nacional por la amenaza de un grupo de piratas que sustrajo información de al menos seis entidades, incluidos los ministerios de Hacienda así como de Trabajo y Seguridad Social (MTSS).

"Recordar que el ámbito sobre el cual tenemos rectoría es el público. En este caso, nosotros el seguimiento que damos es a las instituciones públicas. Por supuesto que para nosotros no es ningún problema compartir una alerta técnica de apoyo para el sector privado, compartir alguna información que les pueda ayudar a prepararse. Pero nosotros no los hemos contactado (…) y ellos tampoco nos han contactado. Hasta el momento no hemos tenido noticia de ellos", destacó la jerarca.

Sin embargo, la ministra subrayó que tanto McDonald's como Aeropost deben llevar adelante análisis forenses y revisiones sobre lo sucedido.

"De ese análisis que ellos hagan se podría eventualmente establecer si hay una semejanza o no (con los ataques informáticos al Gobierno de la República). Hay que recordar que Conti no es la única amenaza que hay a nivel mundial. Como decimos, en todos los países, Costa Rica misma, constantemente hay gente intentando generar los sistemas. Muchos de esos intentos no terminan en más que un intento, afortunadamente, y así lo hemos visto con el reforzamiento de la ciberseguridad que hemos tenido", explicó.

Nota del editor:

Esta información fue actualizada el 26 de abril, a la 1:35 pm.