28/01/2020
Ayer se conoció que la cadena de cines Cineplanet registró una alerta de vulnerabilidad en una sus bases de datos, que alcanza al 3,6% de sus clientes registrados.
A raíz de un informe publicado en el portal de tecnología CNET —que tomó la investigación de un miembro de Safety Detectives, Anurag Sen— que daba cuenta de una filtración de datos de usuarios de Cineplanet el pasado 23 de enero, la compañía informó —como versión final— que dicha alerta se cerró ese mismo día y no implicó una fuga ni descarga de la información registrada.
Según el portal CNET, la base de datos de Cineplanet expuso cerca de 250.000 números de DNI, direcciones de correo electrónico, contraseñas sin cifrar y cierta información parcial de pago.
En este contexto, ¿cuáles son las obligaciones de las empresas con los datos personales y a cuánto asciende la multa cuando la incumplen?
LO QUE DICE LA NORMA
Fernando Nakaya, especialista en Derecho de Protección de Datos Personales del estudio Torres y Torres Lara Abogados, explica que la Ley 29733, “Ley de Protección de Datos Personales” resulta importante en un contexto de nuevos escenarios y retos producto de los avances tecnológicos.
“Ello sumado al reconocimiento de la información de las personas naturales como parte importante de su patrimonio y ámbito privado, demuestra la importancia de la Ley y su gran utilidad para una sociedad moderna”, detalla Nakaya.
Según se detalla en la Ley 29733, y sus respectivos complementos, los datos personales se clasifican en dos grupos:
Generales: DNI, firma, dirección, datos bancarios, voz, entre otros.
Sensibles: biométricos, ingresos económicos, características físicas, entre otros.
Todos ellos se agrupan en los bancos de datos personales, donde están trabajadores, proveedores, postulantes a la empresas, clientes, por mencionar algunos.
Para que una compañía maneje los datos de una persona se establece que debe haber un consentimiento libre, previo, expreso e informado por parte del titular.
Asimismo, se señala que las empresas deben garantizar que los titulares ejerzan su derecho sobre ellos, como tener acceso a cuál es la información y poder solicitar la cancelación del tratamiento.
Las empresas no pueden utilizar los datos personales recopilados para fines ajenos a los que se hayan informado, sino solo para los que fueron mencionados de manera determinada o explícita.
Además, deben inscribir los bancos de datos personales en la Autoridad Nacional de Protección de Datos Personales (ANPDP), que está bajo la Dirección de Registro Nacional de Protección de Datos Personales, adscrita al Ministerio de Justicia y Derechos Humanos, y también comunicar la realización de flujo transfronterizo.
Ya con ello, con el fin de ofrecer seguridad sobre esta data se deben adoptar medidas técnicas, organizativas y legales.
Según Nakaya, las medidas de seguridad van de acuerdo a la clasificación de cada banco de datos que se maneje. Este puede ser básico, simple, intermedio, complejo y crítico.
Así, a mayor clasificación mayor será el nivel de protección o medidas de seguridad que se requiera.
“Hay varias obligaciones; entre ellas, la de proteger e implementar medidas de seguridad respecto de la información de las personas naturales que manejan y darle el uso apropiado de acuerdo a la finalidad para la cual se obtuvo el consentimiento por parte de titular de dichos datos. También está la obligación de inscribir los bancos de datos que se tengan y establecer mecanismos para la atención de los derechos de Acceso, Rectificación, Cancelación y Oposición”, comentó Nakaya.
LAS SANCIONES
En el marco del cumplimiento de las medidas de seguridad, la norma establece que se pueden imponer tres sanciones divididas en tres niveles:
Leves: De 0,5 a 5 Unidades Impositivas Tributarias (UIT). Es decir, entre los S/2.150 y S/11.500.
Graves: De 5 a 50 UIT. Es decir, entre los S/11.500 y S/115.000.
Muy graves: De 50 a 100 UIT. Es decir, entre los S/115.000 y S/230.000.
Califica como multa leve, por ejemplo, no inscribir o actualizar los datos del banco personal en el registro nacional, realizar tratamientos de datos incumpliendo medidas de seguridad ya fijadas, recopilar data que no sea necesaria y no suprimir los datos de tratamiento cuando hayan dejado de ser necesarios para cumplir el fin con el que fueron recopilados.
Entre las multas graves, se encuentra no atender, impedir u obstaculizar los derechos de los titulares sobre sus datos; y tratar los datos personales sin consentimiento del titular.
En tanto, como multas muy graves se contempla dar tratamiento a los datos contraviniendo las obligaciones establecidas en la ley; recopilar datos personales mediante vías fraudulentos, desleales o ilícitos; no cesar en el indebido tratamiento de datos cuando la autoridad ya hizo un requerimiento en esta línea, producto de un proceso sancionador; y no cumplir con las medidas correctivas fijadas por la autoridad.
De acuerdo con Nakaya, desde que entró en vigencia esta ley en el 2011, las sanciones más comunes estuvieron referidas a la falta de inscripción de los bancos de datos personales ante el registro correspondiente.
“Ello se mantiene hasta hoy porque muchas empresas no logran identificar todos los bancos de datos personales que manejan y hacen un registro parcial de algunos de los bancos de datos (los más comunes son trabajadores, clientes, proveedores) sin detectar que pueden tener dentro de su organización otros bancos de datos que no registran ni adecuan”, refiere el abogado.
Nakaya agrega que las últimas sanciones abarcan otras infracciones que se presentan regularmente relacionadas a la falta de medidas de seguridad.
“Entre ellas está establecer privilegios de usuarios o no declarar el flujo transfronterizo (cuando la información sale del territorio nacional), obstruir la función de fiscalización y control, carecer de consentimientos informados y acordes con el tratamiento de los datos personales”, refirió.
CASO CINEPLANET
Nakaya señala la ANPDP tendrá que iniciar un proceso de fiscalización a Cineplanet para descubrir por qué se dio la vulnerabilidad o salida sin autorización de información.
En este sentido, indicó que de haber datos sensibles expuestos la falta sería grave y la sanción podría ser de entre 5 y 50 UIT. En tanto, si la data no es sensible la falta sería leve y la sanción podría ser de entre 0,5 y 5 UIT.
“Además de conocer si hubo o no datos sensibles, se debe determinar si la vulnerabilidad se dio por una falta de medidas de seguridad u otra razón. Por ejemplo, si la empresa logra demostrar que tiene las medidas de seguridad y protocolos adecuados y que todo funcionó correctamente no habría infracción”, sostuvo el abogado.
“Pero si la vulnerabilidad fue por falta de medidas o inadecuadas sí habrá sanción”, acotó.
Leer la noticia completa aquí.