Prodhab advierte que datos personales pueden estar involucrados en ciberataque
Fines ilustrativos
(CRHoy.com).-La Agencia de Protección de Datos de los Habitantes (Prodhab) envió un comunicado a las instituciones públicas que tratan datos personales en el país, que hace referencia al adecuado manejo en caso de sufrir vulneración de seguridad y el tratamiento de los datos según la normativa vigente.
Esto tras los ataques cibernéticos realizados por el grupo Conti durante los últimos días.
“Al tratarse de incidentes de ciberseguridad, la competencia para atender esta situación es directamente del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) y su Equipo de Respuesta a Incidentes de Seguridad (CSIRT-CR), de conformidad con la Ley N.° 7169, de Promoción del Desarrollo Científico y Tecnológico”, indicó en el comunicado Elizabeth Mora, Directora Nacional Prodhab.
Por lo que lamentan que como parte de esta vulneración, pudo haberse involucrado datos personales y piden tomar en cuenta algunas consideraciones que establecen la N.° 8968, de Protección de la Persona frente al Tratamiento de sus Datos Personales, y su Reglamento.
“Siendo el Estado, por medio de sus instituciones, quien realiza mayor tratamiento de datos personales en razón de los servicios públicos que presta y la atención de otras necesidades de los administrados, debe de velar por el derecho fundamental de autodeterminación informativa de los ciudadanos”, señala el comunicado.
Por ello piden a las entidades que tomen en cuenta las medidas de seguridad establecidas en el artículo 10 de la Ley N.° 8968.
Artículo 10. “El responsable de la base de datos deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley. Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada. No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas…”
También solicitan a los responsables de las bases de datos que documenten la inclusión, conservación, modificación, bloqueo o supresión de datos personales, con base en los protocolos de actuación y de conformidad con lo que establece el artículo 27 del mismo Reglamento, e indica que "los responsables y encargados que den tratamiento a datos personales, deben de informar a la Prodhab de cualquier vulneración que puedan sufrir los mismos, en apego a lo establecido en el artículo 38 del Reglamento".
Artículo 38.“Vulnerabilidad de seguridad. El responsable deberá informar al titular sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho, para lo cual tendrá cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes. Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan”.
