Hace algunos meses atrás Yahoo reconoció que en septiembre del 2014 sufrió el robo masivo de datos de alrededor 500 millones de cuentas de usuarios debido a un ataque informático. Entre los datos sustraídos, se presume que hay información personal como fechas de nacimiento, direcciones de correo, números telefónicos y contraseñas de los titulares de las cuentas. El pasado 14 de diciembre del 2016, la misma empresa reconoció que en agosto del 2013 habrían sufrido la sustracción de datos de más de 1.000 millones de cuentas de usuarios hace tres meses, el doble de lo anterior. En este contexto es que la situación para Yahoo se torna bastante compleja a nivel internacional.
Recordemos que en Europa, el 25 de mayo del 2016 entró en vigor el Reglamento Europeo sobre Protección de Datos Personales, sin perjuicio que se aplicará recién dos años después en los países miembros de la Unión Europea.
Esta normativa impone al responsable o encargado del tratamiento de datos la obligación de adoptar medidas seguridad y protección tecnológica sobre sus bancos de datos y, en caso de violación de la seguridad de los registros, la obligación de informar a la autoridad competente tan pronto como haya tenido conocimiento y en un plazo máximo de 72 horas.
En algunos casos, inclusive debe notificar al propio titular de los datos personales, cuando pueda ser un riesgo para sus derechos y libertades, con el propósito que adopte las medidas correspondientes como por ejemplo: cambiar sus claves de acceso. La notificación debe tener al menos el siguiente contenido: a) la naturaleza la de violación, b) el nombre del encargado o responsable del banco de datos, c) las medidas que se adoptarán y d) las posibles consecuencias de la violación a los datos personales. Este último punto es sumamente interesante, ya que se relaciona directamente con una evaluación ex post de los riesgos ante posible una violación a la seguridad de sus registros. Cabe hacer presente que el artículo 3 del Reglamento, permite extender su ámbito de aplicación territorial a aquellas empresas que realicen tratamiento de datos, aún fuera de la Unión Europea.
La notificación de un incidente de seguridad o violación de datos personales, es la manifestación de los principios de información, transparencia y rendición de cuentas que deben regir a quienes tratan datos personales.
Si bien en la Chile la Ley sobre Protección a la vida privada (Ley Nº 19.628) no tiene una norma en los términos indicados del Reglamento Europeo, existen algunas normas que nos pueden ser de utilidad. Una de estas es el artículo 2 letra n) de la Ley, que define quién es responsable del registro de datos, complementado con los artículos 11 y 23 de la misma norma, que obliga al custodio de los bancos de datos de resguardarlos con la debida diligencia haciéndose responsable de los daños causados, por ejemplo, por la sustracción de datos personales por terceros no autorizados.
Si bien el estándar de cuidado esperable para el responsable de los registros es la expectativa de diligencia, es un concepto ambiguo, la reciente aprobación del Convenio de Budapest sobre Ciberdelincuencia y la próxima Política de Cyberseguridad del Ministerio del Interior y Seguridad, creemos que obligará a elevar los estándares de seguridad frente a accesos ilícitos de terceros a los registros y datos personales contenidos en ellos, como aumentar el grado de responsabilidad sobre aquellos sujetos que realicen tratamientos de datos personales.