Filtración masiva de datos personales en México y preocupaciones en torno al cómputo en la nube
Fecha de publicación: 02/08/2016
Etiquetas:
Tanto la prensa internacional como la local dieron a conocer la filtración masiva de datos que expuso la información personal de al menos 93,4 millones de votantes mexicanos.
El 14 de abril de 2016, el investigador de seguridad de MacKeeper, Chris Vickery, reportó una vulneración de seguridad en los sistemas de Amazon. Descubrió una base de datos (en la forma de la lista nominal de electores que incluía información personal) disponible al público en la plataforma de cómputo en la nube de Amazon, y luego de reportarlo al Departamento de Justicia de los Estados Unidos y a la embajada de México, el señor Vickery notó que la lista de electores estaba disponible para cualquiera.
Luego de un período de confusión y acusaciones cruzadas entre las partes involucradas, el Instituto Nacional Electoral (INE) interpuso una querella en contra de los presuntos responsables. EL INE confirmó que la lista pertenecía a Movimiento Ciudadano. El coordinador de Movimiento Ciudadano declaró que su partido había contratado a Amazon Web Services para utilizar sus servicios de almacenamiento, y que fue ahí donde la base de datos fue hackeada. Movimiento Ciudadano, por su parte, también interpuso una querella en contra de quienes resulten responsables, y el 22 de abril, la lista fue removida del sitio web de Amazon.
Existen muchas razones que deben preocupar a los mexicanos sobre la filtración de la lista de electores —y un número igual de razones por las cuales las compañías deben revisar sus políticas de privacidad y protección de datos personales en México. La lista de electores hackeada contenía información personal que incluía: nombres, direcciones, números de identificación, fechas de nacimiento, fotos, y firmas. En un país donde el secuestro y el robo de identidades son comunes, una violación de esta naturaleza puede tener consecuencias significativas. Hasta ahora, ha sido difícil determinar el nivel del daño que esta divulgación no autorizada ha causado, así como quienes tuvieron acceso a la lista de electores antes de su remoción.
Movimiento Ciudadano alega que no hubo un acceso ilegal a la lista por parte de ciudadanos comunes, pero que, en todo caso, el foco debería estar sobre las posibles responsabilidades que puedan resultar de este hecho. Desde la perspectiva de una compañía, hay dos razones principales para prestar atención a este tipo de acontecimientos: (i) Tales eventos son cada vez más comunes en México y América Latina; y (ii) México y América Latina están experimentando una completa revisión de sus regulaciones de protección de los datos.
Entre las principales preocupaciones en materia de privacidad en el contexto legal mexicano podemos encontrar las siguientes:
1. Vulneraciones de datos en México. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley de Protección de Datos) requiere que los responsables de los datos notifiquen a los titulares de la información sobre cualquier vulneración a los datos personales que afecten significativamente los derechos patrimoniales o morales de los titulares, con el fin de proteger estos intereses. Adicionalmente, los responsables de la información deben iniciar una revisión exhaustiva de la vulneración de seguridad e implementar medidas correctivas. En el caso de la lista de electores, el responsable de los datos personales era un partido político que no está obligado bajo la Ley de Protección de Datos; una compañía, sin embargo, sí se encontraría obligada por la Ley de Protección de Datos en circunstancias similares. Como comentaremos abajo, se está desarrollando una nueva ley que protegerá a los partidos políticos de la misma manera.
2. Consideraciones en materia de privacidad en el denominado cómputo en la nube. Las compañías que prestan servicios de nube deben informar a sus clientes mexicanos cuando la información almacenada en sus servidores se encuentre comprometida, a fin de que puedan tomar las medidas correctivas necesarias.
Adicionalmente, la Ley de Protección de Datos contiene requerimientos específicos que deben ser cumplidos al contratar con un proveedor de servicios de cómputo en la nube. Por ejemplo, los responsables de los datos personales deben verificar que los prestadores de servicios de nube cumplan los siguientes requisitos:
El caso de la lista de electores levanta nuevamente importantes preguntas sobre la nube: ¿Es segura?, ¿Cuál debe ser el proceso de toma de decisiones asociado a este asunto?, ¿Por ejemplo, qué ventaja podría sacar un partido político mexicano al guardar una lista de electores en la nube?, ¿Quién debería poder tener acceso a tal lista?
El caso de la lista de electores también sirve de recordatorio para las compañías que actúen como responsables de los datos para que ponderen sobre el tipo de información que procesan a través de sus proveedores de servicios de nube. Visto que la Ley de Protección de Datos no restringe el tipo de información que puede ser almacenada en la nube, la responsabilidad de esta decisión caería sobre el responsable de los datos. La decisión debe pasar por procesos de evaluación de los proveedores de servicio de nube, un análisis del tipo de los datos (sensible o no), transferencias locales o transfronterizas, y asuntos físicos y logísticos relacionados con el manejo de datos personales y servicios de nube.
3. La falta de sistemas de seguridad asegura sanciones. Bajo la Ley de Protección de Datos, las compañías que no tengan medidas y protocolos de seguridad sobre manejo de datos personales se encontrarán sujetas a sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Las personas que traten datos personales por cuenta de un responsable, tales como compañías de servicios de nube, deben implementar medidas de seguridad administrativas, técnicas, y físicas para proteger la datos personales de daños, pérdida, alteración, destrucción, o uso o divulgación sin autorización.
El INAI está adquiriendo nueva tecnología para detectar los niveles de cumplimiento de las compañías con las medidas de seguridad. Este enfoque es importante porque en México y América Latina es común ver una disociación entre las medidas de seguridad del departamento de tecnología y los esfuerzos de la gerencia en poner en práctica los programas de cumplimiento exigidos por ley para la protección de datos personales. Los resultados de dicha disociación pueden ser tan sencillos e inexplicables como olvidar poner bajo clave información que debe mantenerse confidencial.
4. Datos personales y responsabilidad penal. En el caso de Amazon, como en otros casos recientes, las investigaciones penales fueron iniciadas por actos relacionados con la divulgación de información personal. En México es un delito transferir ilegalmente archivos que contengan información sobre el padrón electoral. De igual manera, bajo la Ley de Protección de Datos, es un delito la violación de seguridad de una base de datos para obtener una ganancia, o lucrarse ilegalmente de información obtenida por vía de error o engaño al titular de los datos.
5. Próxima regulación para partidos políticos y oficinas de gobierno. Los partidos políticos y las dependencias y entidades del gobierno tienen limitadas obligaciones de protección de los datos. La nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, que se encuentra esperando aprobación por parte del Congreso Mexicano, requerirá a los responsables de los datos (partidos políticos, por ejemplo) que reporten violaciones de seguridad a los titulares; y por su parte, los personas que traten datos personales por cuenta de un responsable (proveedores de servicios de nube, por ejemplo) tendrán la obligación de reportar esas violaciones a los responsables. La nueva Ley aplicará cualquier autoridad, entidad, órgano y organismo de los poderes Legislativo, Ejecutivo y Judicial, órganos autónomos, partidos políticos (como Movimiento Ciudadano), fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad de la Federación, las Entidades Federativas y los municipios. Hasta cierto punto, se podría decir que esta regulación requerirá de avisos de privacidad, restricciones a transferencias de los datos, y restricciones de acceso a los datos, tal y como lo hace la Ley de Protección de Datos para el sector privado.
Los ataques cibernéticos en México han incrementado significativamente en estos años, y las compañías y el gobierno han demostrado carecer de las herramientas para combatirlos. En la era de la información electrónica, donde la vida ocurre tanto en el mundo real como en el virtual, las compañías y los gobiernos de América Latina tienen una tarea inmensa respecto de la prevención de ataques cibernéticos, hackeo, y otras preocupaciones sobre la privacidad y la protección de los datos. Adicionalmente, la Ley de Protección de Datos difiere sustancialmente de normas equivalentes en los Estados Unidos; la Ley de Protección de Datos incluye estrictas normas y disposiciones, similares al sistema de protección de los datos europeo, resultando en una variedad de retos para los prestadores de servicios de internet, nube, privacidad, y manejo de los datos. La nueva tecnología también levanta nuevas debilidades y preocupaciones en cuanto a la protección de la privacidad en México y América Latina. El reciente caso de los “Panama Papers”, y la filtración de Amazon son solo el comienzo. Los primeros en prepararse, serán quienes tendrán menos inquietudes.
Los puntos de vista y opiniones que se exponen en este artículo reflejan los puntos de vista y las opiniones personales del autor; no representan necesariamente la posición u opinión de la firma de abogados con la que está asociado.
El 14 de abril de 2016, el investigador de seguridad de MacKeeper, Chris Vickery, reportó una vulneración de seguridad en los sistemas de Amazon. Descubrió una base de datos (en la forma de la lista nominal de electores que incluía información personal) disponible al público en la plataforma de cómputo en la nube de Amazon, y luego de reportarlo al Departamento de Justicia de los Estados Unidos y a la embajada de México, el señor Vickery notó que la lista de electores estaba disponible para cualquiera.
Luego de un período de confusión y acusaciones cruzadas entre las partes involucradas, el Instituto Nacional Electoral (INE) interpuso una querella en contra de los presuntos responsables. EL INE confirmó que la lista pertenecía a Movimiento Ciudadano. El coordinador de Movimiento Ciudadano declaró que su partido había contratado a Amazon Web Services para utilizar sus servicios de almacenamiento, y que fue ahí donde la base de datos fue hackeada. Movimiento Ciudadano, por su parte, también interpuso una querella en contra de quienes resulten responsables, y el 22 de abril, la lista fue removida del sitio web de Amazon.
Existen muchas razones que deben preocupar a los mexicanos sobre la filtración de la lista de electores —y un número igual de razones por las cuales las compañías deben revisar sus políticas de privacidad y protección de datos personales en México. La lista de electores hackeada contenía información personal que incluía: nombres, direcciones, números de identificación, fechas de nacimiento, fotos, y firmas. En un país donde el secuestro y el robo de identidades son comunes, una violación de esta naturaleza puede tener consecuencias significativas. Hasta ahora, ha sido difícil determinar el nivel del daño que esta divulgación no autorizada ha causado, así como quienes tuvieron acceso a la lista de electores antes de su remoción.
Movimiento Ciudadano alega que no hubo un acceso ilegal a la lista por parte de ciudadanos comunes, pero que, en todo caso, el foco debería estar sobre las posibles responsabilidades que puedan resultar de este hecho. Desde la perspectiva de una compañía, hay dos razones principales para prestar atención a este tipo de acontecimientos: (i) Tales eventos son cada vez más comunes en México y América Latina; y (ii) México y América Latina están experimentando una completa revisión de sus regulaciones de protección de los datos.
Entre las principales preocupaciones en materia de privacidad en el contexto legal mexicano podemos encontrar las siguientes:
1. Vulneraciones de datos en México. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley de Protección de Datos) requiere que los responsables de los datos notifiquen a los titulares de la información sobre cualquier vulneración a los datos personales que afecten significativamente los derechos patrimoniales o morales de los titulares, con el fin de proteger estos intereses. Adicionalmente, los responsables de la información deben iniciar una revisión exhaustiva de la vulneración de seguridad e implementar medidas correctivas. En el caso de la lista de electores, el responsable de los datos personales era un partido político que no está obligado bajo la Ley de Protección de Datos; una compañía, sin embargo, sí se encontraría obligada por la Ley de Protección de Datos en circunstancias similares. Como comentaremos abajo, se está desarrollando una nueva ley que protegerá a los partidos políticos de la misma manera.
2. Consideraciones en materia de privacidad en el denominado cómputo en la nube. Las compañías que prestan servicios de nube deben informar a sus clientes mexicanos cuando la información almacenada en sus servidores se encuentre comprometida, a fin de que puedan tomar las medidas correctivas necesarias.
Adicionalmente, la Ley de Protección de Datos contiene requerimientos específicos que deben ser cumplidos al contratar con un proveedor de servicios de cómputo en la nube. Por ejemplo, los responsables de los datos personales deben verificar que los prestadores de servicios de nube cumplan los siguientes requisitos:
- Que mantengan políticas de protección de los datos personales consistentes con la Ley de Protección de Datos;
- Que permitan que los responsables de los datos personales limiten el tipo de procesamiento de datos personales que será parte del servicio; y
- Que tengan mecanismos que prevengan el acceso sin autorización.
El caso de la lista de electores levanta nuevamente importantes preguntas sobre la nube: ¿Es segura?, ¿Cuál debe ser el proceso de toma de decisiones asociado a este asunto?, ¿Por ejemplo, qué ventaja podría sacar un partido político mexicano al guardar una lista de electores en la nube?, ¿Quién debería poder tener acceso a tal lista?
El caso de la lista de electores también sirve de recordatorio para las compañías que actúen como responsables de los datos para que ponderen sobre el tipo de información que procesan a través de sus proveedores de servicios de nube. Visto que la Ley de Protección de Datos no restringe el tipo de información que puede ser almacenada en la nube, la responsabilidad de esta decisión caería sobre el responsable de los datos. La decisión debe pasar por procesos de evaluación de los proveedores de servicio de nube, un análisis del tipo de los datos (sensible o no), transferencias locales o transfronterizas, y asuntos físicos y logísticos relacionados con el manejo de datos personales y servicios de nube.
3. La falta de sistemas de seguridad asegura sanciones. Bajo la Ley de Protección de Datos, las compañías que no tengan medidas y protocolos de seguridad sobre manejo de datos personales se encontrarán sujetas a sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Las personas que traten datos personales por cuenta de un responsable, tales como compañías de servicios de nube, deben implementar medidas de seguridad administrativas, técnicas, y físicas para proteger la datos personales de daños, pérdida, alteración, destrucción, o uso o divulgación sin autorización.
El INAI está adquiriendo nueva tecnología para detectar los niveles de cumplimiento de las compañías con las medidas de seguridad. Este enfoque es importante porque en México y América Latina es común ver una disociación entre las medidas de seguridad del departamento de tecnología y los esfuerzos de la gerencia en poner en práctica los programas de cumplimiento exigidos por ley para la protección de datos personales. Los resultados de dicha disociación pueden ser tan sencillos e inexplicables como olvidar poner bajo clave información que debe mantenerse confidencial.
4. Datos personales y responsabilidad penal. En el caso de Amazon, como en otros casos recientes, las investigaciones penales fueron iniciadas por actos relacionados con la divulgación de información personal. En México es un delito transferir ilegalmente archivos que contengan información sobre el padrón electoral. De igual manera, bajo la Ley de Protección de Datos, es un delito la violación de seguridad de una base de datos para obtener una ganancia, o lucrarse ilegalmente de información obtenida por vía de error o engaño al titular de los datos.
5. Próxima regulación para partidos políticos y oficinas de gobierno. Los partidos políticos y las dependencias y entidades del gobierno tienen limitadas obligaciones de protección de los datos. La nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, que se encuentra esperando aprobación por parte del Congreso Mexicano, requerirá a los responsables de los datos (partidos políticos, por ejemplo) que reporten violaciones de seguridad a los titulares; y por su parte, los personas que traten datos personales por cuenta de un responsable (proveedores de servicios de nube, por ejemplo) tendrán la obligación de reportar esas violaciones a los responsables. La nueva Ley aplicará cualquier autoridad, entidad, órgano y organismo de los poderes Legislativo, Ejecutivo y Judicial, órganos autónomos, partidos políticos (como Movimiento Ciudadano), fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad de la Federación, las Entidades Federativas y los municipios. Hasta cierto punto, se podría decir que esta regulación requerirá de avisos de privacidad, restricciones a transferencias de los datos, y restricciones de acceso a los datos, tal y como lo hace la Ley de Protección de Datos para el sector privado.
Los ataques cibernéticos en México han incrementado significativamente en estos años, y las compañías y el gobierno han demostrado carecer de las herramientas para combatirlos. En la era de la información electrónica, donde la vida ocurre tanto en el mundo real como en el virtual, las compañías y los gobiernos de América Latina tienen una tarea inmensa respecto de la prevención de ataques cibernéticos, hackeo, y otras preocupaciones sobre la privacidad y la protección de los datos. Adicionalmente, la Ley de Protección de Datos difiere sustancialmente de normas equivalentes en los Estados Unidos; la Ley de Protección de Datos incluye estrictas normas y disposiciones, similares al sistema de protección de los datos europeo, resultando en una variedad de retos para los prestadores de servicios de internet, nube, privacidad, y manejo de los datos. La nueva tecnología también levanta nuevas debilidades y preocupaciones en cuanto a la protección de la privacidad en México y América Latina. El reciente caso de los “Panama Papers”, y la filtración de Amazon son solo el comienzo. Los primeros en prepararse, serán quienes tendrán menos inquietudes.
Los puntos de vista y opiniones que se exponen en este artículo reflejan los puntos de vista y las opiniones personales del autor; no representan necesariamente la posición u opinión de la firma de abogados con la que está asociado.
WordPress ID
7359
}
Add new comment