Cuando una empresa o institución sufre un ataque cibernético se expone a recibir una sanción por tratar datos sin garantizar su seguridad, además de correr con las pérdidas económicas y el costo reputacional.
“En caso que este hackeo le ocasione un daño a los titulares de los datos, estos tienen la posibilidad de presentar una demanda por los posibles daños y perjuicios”, afirmó León Weinstok, director de BLP.
No existe un sistema infalible a ataques cibernéticos, pues toda empresa e institución está expuesta aunque cuente con todos los protocolos. Pero si ocurre, lo peor que se puede hacer es negar el ataque.
Al detectar un vulneración, hay que centrarse en su contención, en la investigación de lo sucedido y en restaurar los sistemas. Tenga presente que eso no evitará enfrentar denuncias de distinto carácter.
Elizabeth Mora Elizondo, directora nacional de la Agencia de Protección de Datos de los Habitantes (Prodhab), recordó que la Ley de Protección Frente al Tratamiento de sus Datos Personales (N° 8968) indica que los responsables de la base de datos deberán adoptar las medidas de seguridad física y lógica para garantizar la protección de los datos personales y evitar su alteración, destrucción, pérdida, tratamiento o acceso no autorizado, entre otros.
LEA MÁS: ¿Qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?
Las empresas o entidades que recolectan, almacenan y usan datos personales deben contar con un protocolo de actuación inscrito ante la Prodhab, entidad que debe verificar el cumpliendo del protocolo. En caso de vulnerabilidad en la seguridad o irregularidad en el tratamiento y almacenamiento de sus datos, la empresa o institución responsable debe informar al titular en un plazo de cinco días hábiles para que puedan tomar las medidas correspondientes. Si hay un incumplimiento de alguno de estos puntos, el responsable de la base de datos se expone a sanciones.
Mora indicó que ya tienen conocimiento de la vulneración a los sistemas del Ministerio de Hacienda y que se procederá a cumplir con los requerimientos de información para valorar las acciones que procedan. Hasta el momento, la Prodhab no ha recibido ninguna denuncia al respecto.
Consecuencias
Las medidas de seguridad incluyen formas físicas, técnicas y lógicas que eviten la alteración, destrucción accidental o ilícita, pérdida y acceso no autorizado de los datos personales. Se deben evitar también filtraciones indebidas de los datos y limitar ataques de terceros. Las sanciones podrán ocurrir por pérdida, destrucción o acceso no autorizado a los datos personales.
“Toda empresa o institución que trata datos de carácter personal se encuentra en la obligación de cumplir con las medidas de seguridad que exige la Ley 8968 y su Reglamento”, recordó Margarita Guido, abogada especialista de protección y privacidad de datos de EY Law.
Las consecuencias por incumplir son de varias categorías:
Consecuencias regulatorias: sanciones de Prodhab si se determina que la institución o empresa no contaba con medidas de seguridad adecuadas. “En caso de empleados públicos, estos podrían afrontar causas disciplinarias si se demuestra que obraron con culpa o dolo”, indicó Mauricio París, socio de Ecija.
Consecuencias reputacionales: los ataques cibernéticos pueden ocasionar daños reputacionales, incluyendo la pérdida de confianza del usuario, sobre todo si se determina que la institución no contaba con medidas de seguridad suficientes o que hizo un manejo errático de la crisis provocada por el ataque.
Consecuencias operativas: los ciberataques pueden generar la pérdida de datos e inutilizar sus sistemas, lo que hace indispensable las políticas de continuidad del negocio y las instalaciones de respaldo de hardware.
Consecuencias económicas: por multas, bloqueo de la operación durante varios días, extorsiones y costos de sistemas afectados y de recuperación. París recalcó que, por esa razón, la prevención de ciberataques debe verse como una inversión para la continuidad del negocio.
Guido indicó que, como las bases de datos almacenan información privada protegida por el derecho constitucional, para proyectar un porcentaje de daño —y analizar si es gravoso o no— se debe evaluar:
—¿Qué tipo de información fue vulnerada?
—¿Se encontraba anonimizada o seudonimizada?
—¿Es información que encontramos en bases de datos públicas?
—¿El impacto de la información vulnerada nos afecta?
—¿Cuál es el daño provocado?
—¿Puede demostrarse?
“Contestando estas preguntas podríamos comenzar a analizar qué tan grave es la filtración de información y si se debe actuar frente a esa vulneración”, dijo Guido.
Denuncias
Las personas físicas o jurídicas afectadas por la exposición de su información a partir de un acto de ciberdelincuencia o vulneración de sus datos pueden acudir ante la Prodhab. Para esto tienen un plazo de cinco días hábiles a partir de lo ocurrido, según lo establecido en los artículos 38 y 39 del Reglamento a la Ley 8968. La notificación debe incluir una descripción de lo ocurrido, datos comprometidos, acciones correctivas y los medios para obtener más información.
El reglamento establece la obligación de informar a la Prodhab y a los titulares de los datos comprometidos sobre la brecha de seguridad en el plazo de cinco días. Las investigaciones forenses después de un ataque pueden tomar varios días o incluso semanas, en lo que la institución determina el alcance de la afectación. “Lo importante es que realice tantas comunicaciones como sean necesarias conforme vaya encontrando hallazgos”, recalcó París, de Ecija.
La institución o empresa responsable debe comunicar a los afectados: el tipo de incidente (ransomware, phishing, malware, etc.), los datos personales comprometidos, acciones correctivas y el medio en el que la persona puede obtener más información respecto de lo sucedido.
La institución o empresa que es víctima de un ciberataque deberá ponerlo en conocimiento del Ministerio Público para que investigue la comisión de los delitos. Cuando se trata de organizaciones de cibercrimen que operan a nivel mundial, las autoridades locales se apoyan en la cooperación internacional por medio de Interpol o gobiernos que cuentan con recursos técnicos y humanos más sofisticados.
Guido indicó que en el caso de empresas se pueden presentar demandas civiles por afectación a la imagen. Si hay un pago a la empresa podría apegarse a la normativa de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor (N° 7472), así como presentar la denuncia correspondiente ante el Ministerio Público en la Fiscalía por Espionaje Informático.
De igual forma, en el caso de la institución pública podría presentarse una denuncia al Contencioso Administrativo, basándonos en la Ley General de la Administración Pública (N° 6227) y presentar como querellante a la Fiscalía la denuncia sobre el Delito de Espionaje Informático.
El artículo que permite interponer una demanda contra la institución pública es el 190 de la Ley 6227, donde se debe demostrar la falta de la institución y su responsabilidad. Respecto a la denuncia penal, la Fiscalía inicia de oficio una investigación en el caso de que exista una afectación y se vulneren derechos de los administrados y secretos de estado según los artículos 231 y 295 del Código Penal.