El lunes 31 de agosto de este año, el diario La Nación publicó la noticia “CCSS denuncia 'hackeo' de 500.000 registros del sistema de planillas”. A pesar de la gravedad de los hechos, pareciera que la cobertura de los medios y el interés general no se corresponden con la magnitud del daño ocasionado con este ataque cibernético.
En el 2011 el país aprobó la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, la cual regula el acceso a datos personales de los ciudadanos y establece cómo estos deben ser tratados.
Otorga, además, a todo ciudadano el derecho de decidir cuándo, cómo y a quién le proporciona su información personal. Esto lo conocemos como el principio de autodeterminación informativa.
Si bien el Sicere podría enmarcarse dentro de una de las excepciones al principio antes mencionado recogidas en el artículo 8, inciso D de dicha ley, aun así, la CCSS debe cumplir toda la normativa referente a la protección de dicha información, que ha sido recabada con el fin de prestar un servicio público.
Es fundamental hacer notar que dicha ley establece también el deber de la persona física o jurídica que almacene, recolecte o trate datos personales de contar con medidas de seguridad de índole técnica y de organización para asegurar dichas bases de datos.
Es aquí donde los acontecimientos reportados por las autoridades de la CCSS y recogidos en la nota de La Nación deberían ser un llamado a la acción.
La ley de protección de datos responde a una necesidad y es un derecho del ciudadano que estén protegidos.
Es conocido que el acceso no autorizado a información financiera o médica de una persona causa grandes perjuicios al titular si es utilizada con fines espurios, y puede afectar incluso su patrimonio personal.
Cuando se filtran datos crediticios, la persona corre el riesgo de sufrir el robo de su identidad. Una condición médica hecha pública podría generar el despido del trabajo o la negación de un seguro médico o de vida.
Por ello, proteger lo datos personales es de vital importancia en la sociedad de la información.
Incumplimiento de deberes. Volviendo al caso de la CCSS, llama la atención la prontitud con la que se detectó el acceso ilegítimo a la información.
En el campo de la seguridad informática, estudios de empresas líderes en la materia revelan que desde que se realiza un acceso ilegítimo a un sistema informático hasta que el dueño del sistema lo detecta suelen pasar en promedio 249 días.
En el caso que nos ocupa, el acceso ilegítimo en teoría se presentó en mayo de este año y fue reportado por las autoridades de la CCSS en agosto; un tiempo aproximado de 90 días.
Si bien el tratamiento no autorizado de los datos lo hicieron funcionarios ajenos a la CCSS, esto no debería ser motivo para que dicha institución no esté expuesta a sanciones por parte de la Agencia de Protección de Datos (Prodhab), pues es su responsabilidad velar por que quienes acceden al sistema cumplan la normativa establecida y las políticas de seguridad determinadas para proteger la información.
La materia es, sin duda, amplia y debe llevarnos a plantearnos serias interrogantes en aspectos de privacidad: ¿Podemos confiar en que con la inminente incorporación del expediente médico digital nuestra información no será vulnerable? ¿Están otras entidades gubernamentales, como el Tribunal Supremo de Elecciones, el Registro Público o Tributación, expuestas a este tipo de actividades ilícitas? ¿Existe una estrategia de seguridad digital establecida desde el Gobierno Digital? ¿Han pensado el Gobierno Digital y el Micitt en la necesidad de contar con un chief security officer ?
La protección de nuestros datos personales es también tarea de cada uno de nosotros, y como ciudadanos debemos fiscalizar el buen uso que de ellos hacen las instituciones públicas que los administran.
Gustavo Jiménez Chavarría es experto en Seguridad Informática en HP.