Tecnología Entes públicos y privados deben de cumplir medidas para cuidar la información de los ciudadanos que estas traten. Además, demostrar que estos mecanismos son eficientes.

Recibe una llamada de una empresa, con la que nunca ha tenido contacto, para ofrecerle bienes o servicios; se entera que una firma compartió información de alguna condición médica suya con otra; detalles personales aparece en bases de datos que se venden en el mercado negro o se ventilan en Internet. Son situaciones que pueden pasarle a cualquiera, pero que se pueden combatir a través de la Ley de Protección de Datos Personales.

En el país, la norma está vigente desde el 26 de mayo pasado; están obligadas a cumplirla las organizaciones públicas y privadas de todos los tamaños (incluidas las pymes). Tiene como objetivo evitar que los datos personales de los ciudadanos sean usados con una finalidad distinta para la cual se proporcionaron, se filtren hacia terceros, a quienes no se les autorizó su utilización, etc.

Ecuador es un país que tiene debilidades en cuanto a la protección de información. El mes pasado la Corporación Nacional de Telecomunicaciones denunció dos ataques informáticos a sus bases de datos ante la Fiscalía.

Según ESET, en el 2020 Ecuador ocupó la sexta posición dentro de los países latinoamericanos con más detecciones de ‘mal­ware’, después de Brasil, México,
Argentina, Colombia y Perú.

Solo como ejemplo, durante el 2019 se filtró información de 20 millones de ecuatorianos, incluidos fallecidos y 6,7 millones de niños. Se trató de 54 tipos de datos, que provenían de entes como el Registro Civil, las cuentas y créditos del Banco del Instituto Ecuatoriano de Seguridad Social, así como de la adquisición de autos e información laboral.

En anteriores ocasiones, instituciones financieras también han enfrentado problemas vinculados con ataques informáticos.

Ante esto Diego Álvarez, abogado experto en protección de datos y regulación digital, quien participó en el desarrollo de la Ley, señala que esta es un aliado para los ciudadanos. Protege, exclusivamente, la información personal de usuarios ante el mal procesamiento de la misma por entes privados y públicos.

Estas organizaciones, de acuerdo a la norma, tienen la obligación de implementar herramientas administrativas, técnicas, físicas, organizativas y jurídicas para garantizar que el procesamiento de datos personales se está haciendo conforme a la Ley. Pero, deben también poder demostrar la eficiencia de dichos mecanismos.

A esto Pablo Solines Moreno, presidente de la Asociación Ecuatoriana de Protección de Datos y experto en la materia, dice que las medidas de seguridad que tomen las entidades, públicas y privadas, dependerá del tipo de tratamiento que den a la información, del tipo de datos que manejan, etc.

“Se podría pensar que las medidas deberían estar taxativamente establecidas en una norma y sobre eso establecer objetivos de cumplimiento, Pero, en el ámbito de la protección de datos no es así”, señala. A escala mundial, añade, la seguridad de datos personales debe ser adecuada en función de las necesidades de cada sector.

Un punto clave para que tanto empresas como entidades del sector público tomen en cuenta es que la protección de datos va desde el diseño, dice Solines Moreno.

Esto implica que desde que una organización entra en fase de proyecto debe tener en cuenta los riesgos que implica el tratamiento de datos personales y las medidas a aplicar para garantizar el cuidado y buen uso de estos.

La Ley, asimismo, establece sanciones administrativas cuando hay mal uso de la información personal o sensible, dependiendo de si las faltas son leves o graves.

Álvarez explica que se determinó un periodo de adecuación de dos años para las organizaciones; tras ese tiempo se podrá aplicar el régimen sancionatorio de la normativa.
Sin embargo, hoy el ciudadano puede iniciar acciones penales o civiles por afectación por mal uso o filtración de datos personales.

Cuando se aprobó la Ley, también en mayo, el anterior Gobierno explicó que uno de los hitos importantes es su “efecto de extraterritorial, es decir, si una empresa instalada fuera de territorio ecuatoriano recolecta y procesa datos de sus ciudadanos, estará sujeta a lo que establece la norma ecuatoriana. El ejercicio de la Ley no obstaculizará el flujo de datos (transfronterizos)”.

Entre los derechos que tiene el ciudadano, sin importar cual sea la organización que tenga su información personal, es que puede exigir la rectificación y actualización si estos estuvieren incompletos o fueran inexactos.

Más allá de la Ley, por su parte, el ciudadano debe estar consciente de cuidar sus propios datos. Esto implica no subir documentos a redes sociales de manera pública, evitar compartir información personal con terceros tanto vía Internet como de manera física, leer los contratos que suscribe para saber qué se piensa hacer con su data, entre otros.

Conocer de la existencia de Ley puede ayudar a enfrentar cualquier mal uso que pueda darse.

Sector público y privado refuerzan la ciberseguridad

En septiembre del 2019, Ecuador conoció de la filtración de datos más grande de su historia, protagonizada por la empresa Novaestrat que manejaba una base de datos gigantesca con información personal y financiera de millones de individuos, la cual había logrado recopilar a través de entidades públicas y privadas.

A este hecho le han seguido otros, en los que se vieron involucradas empresas públicas y privadas en distintos sectores, que han dejado en evidencia las falencias en protección de datos y seguridad informática que hay en el país.

En la industria de las telecomunicaciones, el caso más reciente es el de la Corporación Nacional de Telecomunicaciones, que el pasado 14 de junio sufrió un hackeo informático de tipo “ransomware”, que consiste en un secuestro de información por el cual se pide un rescate. Aunque el Gobierno ha negado que se haya solicitado dinero por este tema.

Si bien el ataque afectó sus procesos de atención al cliente, en sus Centros Integrados de Servicio y Contact Center, la empresa asegura que no existe “evidencia alguna” de pérdida de datos. “La información está intacta en la empresa rehabilitándose progresivamente”, respondió a LÍDERES.

No obstante, la compañía admitió que tiene “herramientas insuficientes” y estructuras que deben ser reforzadas y corregidas. “El parque tecnológico de la institución tiene un promedio de más de ocho años, con máquinas e infraestructura obsoletas”.

Precisó también que se encuentran trabajando con empresas internacionales para implementar “en el menor tiempo posible” herramientas de control y monitores, que permitan mitigar “este y otros desafíos a futuro”.

Desde el sector privado, la compañía Telefónica Movistar anunció el pasado 11 de agosto la creación del Centro de Transparencia, un sitio dentro de su página web comercial, en donde clientes y ciudadanos en general, tienen a disposición información acerca del uso de los servicios y la privacidad de la información a la que Movistar tiene acceso. De igual manera, información sobre sus derechos y cómo ejercerlos.

Adicionalmente, precisó la firma, se encuentra adaptando sus políticas, herramientas, estándares y protocolos a lo que establece la Ley Orgánica de Protección de Datos Personales en el Ecuador.

En cuanto a planes de contingencia, por posibles vulneraciones a sus sistemas, Telefónica explica que tiene implementado el proceso de continuidad de negocio en casos de crisis, que conlleva las fases de alerta, evaluación de impacto, desarrollo de recuperación y la fase de finalización. “Esto nos permite una recuperación de servicio eficaz y eficiente”.

Entre otras medidas que ha tomado para reforzar la protección de datos, está la implementación de procesos de seguridad como análisis de vulnerabilidades continuo, gestión de cambios y blindaje de seguridad, ciberinteligencia; con el fin de identificar posibles brechas de seguridad.

En el Banco del Instituto Ecuatoriano de Seguridad Social (Biess) se aplica la “Seguridad Perimetral” de su red, que incluye diversos servicios de protección ante posibles ataques informáticos, con el fin de proteger y asegurar la información de usuarios y afiliados. Este sistema cuenta con un Centro de Operaciones de Ciberseguridad con atención permanente, explica la entidad.