Exposición pública de datos de menores
Datos de menores Fallas de seguridad NoticiasPublished junio 11, 2009 at 3:14 pm 2 CommentsFuente : Terra.cl
Nos enteramos esta semana de un grave error de seguridad informática cometido por la Junaeb que afectó los datos personales de miles de estudiantes chilenos. Se trata de la publicación, por más de dos semanas, de los datos personales de los postulantes a la beca Presidente de la República, que año a año beneficia a cerca de 50 mil estudiantes.
La irregularidad fue detectada por un usuario del portal de Terra, específicamente un programador, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas. La información estuvo expuesta en Internet y era accesible desde Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.
De acuerdo a la profesora Lorena Donoso en el artículo datos personales en el sector de la educación, compartimos la idea que el estándar de protección que debe cumplirse, por parte de las entidades ligadas a la educación, es de estricta seguridad.
Ello por varias consideraciones:
1. El objetivo de la legislación sobre protección de datos es que el tratamiento de éstos se realice de acuerdo a parámetros de lealtad y licitud, de manera que no afecte indebidamente los derechos de los titulares.
2. En el caso de los niños y jóvenes que integran el sistema educacional, es necesario proteger los intereses superiores de éstos, por tanto, sus datos personales deben ser tratados de acuerdo a este interés.
3. Como estos datos se refieren a la formación de la persona, y siendo la creación de hábitos fundamental en el proceso educativo estos datos deben ser tratados como datos sensibles, esto es, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.
En el sitio Web de esta institución pública no encontramos ninguna alusión a los sucedido ni siquiera disculpas públicas o referencias ante este grave hecho, en el cual, si bien creemos se trata de un error involuntario, no es menor que esto significó la difusión de datos de menores de edad relacionados con su situación socioeconómica y nivel educativo.
El tratamiento de datos que debe seguirse por los organismos públicos debe cumplir el principio de seguridad como principio general, éste se contiene en el artículo 11 de la ley 19.628 : “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Las demás obligaciones, como el registro que contempla el Art. 22 de la ley no aluden al cumplimiento de estándares específicos de seguridad; por otra parte, las sanciones y responsabilidades específicas en este caso, se reducen a la aplicación del Art. 23 de la misma ley.
El proyecto de ley, en actual tramitación en el Congreso, incorpora tres nuevos incisos al artículo 11, señalando que el responsable del tratamiento deberá administrar las medidas técnicas y organizativas que garanticen la seguridad de los datos. Estás serán fijadas por reglamento.
En España el Real Decreto 994-1999 reglamenta las medidas de seguridad que han de guardar los ficheros automatizados que contengan datos personales, estableciendo distintos niveles (alto, medio, básico), correspondiendo para esta clase de datos “alta seguridad”. De la misma forma, hay referencia a los controles de seguridad, responsables y responsabilidades sancionables de acuerdo a la LOPD.
Artículos relacionados:
Medidas de seguridad. Guías prácticas de Microsoft para la adaptación a la LOPD
Principio de seguridad en la LOPD
Creo que el problema, parte de la base que no existe una planificación en la herramienta que soportará la información, el cual debe tener medidas básicas de seguridad, integridad y disponibilidad, si no se planifican estos puntos se producen este tipo de fallas seguridad.
Hoy en día existen muchos Servicios Públicos con el mismo problema en sus servidores, los cuales no han tomado medidas para mitigar, por desconocimiento o por temor a realizar cambios que puedan provocar algún problema en sus servidores. Entonces los que somos especialistas en el área de informática debemos actuar en forma pasiva o en forma proactiva, cuando vemos algun problema de este tipo?.
Existen muchos textos que dan ideas de como mantener un servidor con minima seguridad, pero la gente no los lee, y esperan a que el trabajo se lo den resuelto.
atte.
RCPC
[...] Los datos habrían sido extraídos desde el sitio de la Junta Nacional de Auxilio y Escolar y Becas (JUNAEB), específicamente del portal del Sistema Nacional de Becas ( http://sinab.junaeb.cl). Vemos nuevamente a este organismo público involucrado o afectado por hechos de esta naturaleza (recordemos lo ocurrido en el mes de junio de este año respecto de los datos de menores) [...]