Cuando hablamos de protección de datos y de ciberseguridad, rápidamente lo relacionamos con dos grandes ámbitos: uno estrictamente personal, asociado a transacciones financieras y otro más empresarial o de negocios, que dice relación con bases de datos, marketing directo, tecnología y video conferencias, por citar algunas.
No obstante la normativa chilena, la crisis sanitaria nos obliga a adoptar resguardos tanto a título personal como a nivel organizacional. Teniendo a la vista las noticias recientes, al parecer ningún resguardo es excesivo.
Tal vez el caso más bullado sea el de Zoom, plataforma de video y audio conferencia online que funciona desde el navegador o como aplicación móvil. Con más de 200 millones de usuarios registrados, se ha visto expuesta a fuertes críticas supuestamente por no cumplir con los estándares requeridos, -entiéndase irregularidades y prácticas poco ortodoxas-, en lo que a privacidad y seguridad se refiere. En este contexto, el CEO de la compañía, ha reconocido falencias e informado que durante los próximos 90 días, se destinarán todos los recursos técnicos de la empresa para abordar proactivamente la situación, comprometiéndose, además, a la transparencia del proceso. Mientras ello ocurre, la actitud correcta es asumir que siempre la responsabilidad ha estado de nuestro lado y que lo seguirá estando: todos somos responsables.
Conversamos con Macarena Gatica, abogada, asociada senior de Alessandri Abogados y experta en protección de datos y ciberseguridad, quien nos ilustra respecto de la regulación vigente y cómo comienza a aplicarse en nuestra realidad nacional.
¿Cómo se han abordado la ciberseguridad y la protección de datos personales durante la pandemia?
En las últimas semanas en Chile hemos visto las consecuencias de la falta de una norma que establezca un estándar adecuado de protección de datos personales. Por una parte, tenemos el tratamiento de datos de salud y de geolocalización de los contagiados. Por otro lado, la improvisada implementación del teletrabajo sin la adecuada evaluación del riesgo de las herramientas que se utilizan. A esto se suma la correspondiente capacitación a los trabajadores que los expone a riesgos asociados al ciber entorno. La falta de una norma que establezca un adecuado estándar de tratamiento de datos que esté actualizado con las tecnologías vigentes, con un catálogo de infracciones que contemple una autoridad de control encargada de velar por su cumplimiento, es lo que permite que estos hechos queden impunes. Distinto sería si existiera una Agencia de Protección de Datos que pudiera aplicar cuantiosas multas en caso de infracciones. Todos evaluarían el riesgo antes de implementar una aplicación, cualquiera fuera su fin.
¿Pueden las organizaciones implementar sistemas de control y supervisión hacia sus colaboradores?
La Ley de Teletrabajo señala que en el documento en que se pacte el teletrabajo se debe indicar: “los mecanismos de supervisión o control que utilizará el empleador respecto de los servicios convenidos con el trabajador.” Esto es, a través de qué medios supervigilará al trabajador, cómo llevará el registro de asistencia y cumplimiento de jornada. Es relevante recordar que el junio del año 2018, la Constitución Política de la República fue modificada, e incorporó una nueva garantía constitucional, esto es la protección de datos personales, constituyendo una nueva causal de tutela laboral. Por tanto, cuando el empleador evalúa estos medios idóneos de control, debe tener presente el impacto en el tratamiento de los datos personales de sus trabajadores. Por ejemplo, ¿hasta dónde es posible monitorear la actividad de un trabajador en una herramienta determinada o en su navegación en internet? ¿Es posible monitorear su geolocalización? Lo anterior es lo que, en materia de protección de datos, llamamos Privacy Impact Assessment (PIA) y la materialización del principio de privacidad por diseño y por defecto.
¿Algunas recomendaciones prácticas para empresas y trabajadores?
En el contexto del teletrabajo creo que lo más importante es:
Evaluar las herramientas que se utilizarán, desde el punto de vista de seguridad de la información.
Capacitar a los trabajadores en el uso y riesgos de las herramientas.
Proveer las herramientas adecuadas, por ejemplo, que no usen PC propios que probablemente no cuentan con las medidas de seguridad apropiadas.
Crear contraseñas robustas.
Comenzar procesos destinados a un modelo de cumplimiento tanto en materia de protección de datos como en ciberseguridad.
En lo estrictamente personal ¿qué pasa con mis datos e historia clínica en caso de contagiarme con el COVID-19?
Al respecto, hay dos normas que analizar: la ley de protección a la vida privada (19.628) y ley referente a los derechos y deberes que tienen las personas en relación con acciones vinculadas a su atención en salud (20.584). La primera prohíbe el tratamiento de datos sensibles, salvo cuando la ley 20.584 lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que corresponda a sus titulares. La segunda (20.584), regula el tratamiento de la ficha clínica, señala que es un dato sensible y se remite a la ley 19.628. Asimismo, se establece la obligación del prestador de salud de resguardarla, agregando que los terceros que no estén directamente relacionados con la atención de salud de la persona no tendrán acceso a la información contenida en la respectiva ficha clínica. Ello incluye al personal de salud y administrativo del mismo prestador, no vinculado a la atención de la persona. Al respecto, cabe cuestionarse qué ha pasado con este deber de resguardo y hay varios ejemplos recientes. La
publicación de los datos de 80 personas que se encontraban en cuarentena preventiva en la región del Maule; una aplicación del Registro Civil que usa datos biométricos (reconocimiento facial) con errores irrisorios de identificación o Carabineros con aplicaciones que permiten verificar si una persona está incumpliendo la cuarentena obligatoria por estar contagiado o en riesgo de estarlo. En relación con estas situaciones, se han manifestado preocupaciones por la falta de cuidado y la nula ponderación del riesgo de estarlo. Sin embargo, nadie ha señalado la gravedad del bien jurídico afectado. Se trata de una garantía constitucional: la protección de datos personales. Algunos podrán decir que la existencia de una norma laxa en protección de datos permite un mayor control de la pandemia, pudiendo monitorear con mayor precisión a las personas, sin embargo en pro de esa finalidad, se vulnera una garantía constitucional. Es evidente la necesidad de contar con un marco regulatorio adecuado en protección de datos y la necesidad imperiosa de agilizar el proyecto de ley en la materia y en la de los delitos informáticos. Lamentablemente a falta de norma, la ética en el tratamiento de datos es escasa, permitiendo usos ilícitos dad la impunidad de los responsables.