25/05/17
Ciberataques y control de daños
Por Eduardo Bertoni
Según el profesor de la Maestría en Derecho Penal, "efectuado el ataque, merecemos como mínimo saber que el ataque ocurrió, si nuestros datos han sido afectados y qué medidas podemos tomar al respecto"
En estos días los titulares de los principales diarios del mundo se refirieron a un masivo ataque a computadoras en más de 150 países. En pocas palabras, el ataque consistió en bloquear computadoras exigiendo una suma de dinero para activar un software que permitiría el desbloqueo. Esta es una modalidad de ataque informático, ransomware, que, si bien no es nueva, llamó la atención por su escala.
Pasados los primeros días de incertidumbre, y hasta de algún grado de pánico, es importante preguntarnos sobre el papel que deben cumplir los Estados frente a este tipo de conductas. La primera respuesta podría ser, siguiendo alguna inercia cultural referida a vulneraciones a nuestra seguridad, sencilla: prevenir el ataque y, ocurrido el hecho, castigar a los responsables de posibles actos ilícitos. Pero me permito agregar algo más: los gobiernos deben contribuir mediante regulaciones adecuadas a un control del daño que el ataque provoca, sobre todo cuando nuestros datos personales, incluso a veces de carácter sensible, son afectados.
Ese control de daños puede llevarse a la práctica de una manera simple: efectuado el ataque, merecemos como mínimo saber que el ataque ocurrió, si nuestros datos han sido afectados y qué medidas podemos tomar al respecto. Ello puede permitir actuar para evitar que ocurran, o continúen, los perjuicios.
En la mayoría de los casos, quienes están en condiciones de dar esa información son los propios responsables de las bases de datos. En ellos, y con consentimiento mediante, hemos depositado nuestra confianza para que hagan un tratamiento de nuestros datos siguiendo las finalidades para las cuales se los dimos. En Argentina, la obligación de informar este tipo de incidentes no se encuentra legalmente establecida.
Esta es una de las tantas modificaciones legislativas incluidas en un anteproyecto de ley propuesto por la Dirección Nacional de Protección de Datos Personales para modificar la ley vigente en esta materia. A comienzos de 2017, el anteproyecto fue objeto de una consulta pública abierta en el marco del programa Justicia 2020 del Ministerio de Justicia y Derechos Humanos de la Nación. En ese marco se recibieron numerosas observaciones que llevaron a sensibles modificaciones a la versión original, aunque en el tema que estamos tratando hubo bastante acuerdo en la necesidad de incorporar la obligación de informar.
Sin perjuicio de que esta nueva versión es reciente y algunos aspectos siguen bajo estudio, es importante destacar que define que un incidente de seguridad de datos personales es "cualquier hecho ocurrido en cualquier fase del tratamiento de datos que implique la pérdida o la destrucción no autorizada, el robo, el extravío o la copia no autorizada, el uso, el acceso o el tratamiento de datos no autorizado, o el daño, la alteración o la modificación no autorizada". En segundo lugar, el proyecto estipula que, una vez que ocurre el incidente de seguridad, el responsable del tratamiento de datos debe notificarlo a la autoridad de control y al titular de los datos sin dilación indebida una vez que haya tenido constancia del incidente. La falta de notificación puede acarrear, según se dispone en la normativa propuesta, sanciones pecuniarias para el responsable que omite tal notificación de manera injustificada.
Estas disposiciones son consistentes con lo que estipulan las leyes más avanzadas de protección de datos personales a nivel global. Por ejemplo, el nuevo Reglamento Europeo de Protección de Datos, que empezará a regir como obligatorio en el ámbito de la Unión Europea a partir del año próximo, impone una obligación similar.
Por supuesto que la notificación, tanto a una autoridad de control como a la Dirección Nacional de Protección de Datos Personales, al titular de los datos, por sí sola no minimiza en todos los casos los daños que el ataque puede haber producido o la continuación del daño o del ataque mismo. Pero hasta intuitivamente es fácil advertir que si algo fuera de lo común pasara con nuestros datos personales, nuestra preferencia sería saberlo para, al menos, evaluar los cursos de acción a seguir.
Ya que la legislación actual no tiene prevista esta obligación, hoy la única herramienta con la que cuenta la Dirección es iniciar investigaciones de oficio cuando, en casos en que puede presumirse gravedad, los medios de comunicación hayan puesto en evidencia un ciberataque.
Este cambio a la ley actual, así como otros propuestos, es necesario para adecuar una legislación que ya tiene más de quince años de vigencia a circunstancias y conductas que, al momento de su sanción, eran inexistentes. También sirve para adecuar la legislación argentina a los estándares internacionales. El impulso dado por el propio Presidente de la Nación, quien anunció al abrir las sesiones legislativas de este año la decisión del Poder Ejecutivo de enviar al Congreso un proyecto de reforma a la actual ley de protección de datos personales es, a no dudarlo, una buena noticia.
Publicado en: Opinión
Link: http://www.infobae.com/opinion/2017/05/25/ciberataques-y-control-de-danos/
Link: http://www.infobae.com/opinion/2017/05/25/ciberataques-y-control-de-danos/