Los datos habrían sido extraídos desde el sitio de la Junta Nacional de Auxilio y Escolar y Becas (JUNAEB), específicamente del portal del Sistema Nacional de Becas ( http://sinab.junaeb.cl). Vemos nuevamente a este organismo público involucrado o afectado por hechos de esta naturaleza (recordemos lo ocurrido en el mes de junio de este año respecto de los datos de menores)

Señalamos en ese momento que el tratamiento de datos personales realizado tanto por organismos públicos como privados, debe cumplir el principio de seguridad, contenido en el artículo 11 de la ley 19.628,  que señala: “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Si bien no se establece en la ley, de manera expresa, el cumplimiento específico de determinados estándares de seguridad, los responsables de bases de datos deben establecer una planificación en la herramienta que soportará toda la información, y adoptar una serie de medidas legales, técnicas y organizativas de seguridad que limiten su responsabilidad frente a posibles incumplimientos de la normativa de protección de datos.

Convengamos en que los datos que maneja la JUNAEB son de una sensibilidad o criticidad elevada, por cuanto no sólo se manejan datos de identificación de las personas, sino que mantienen otros datos que dan cuenta de circunstancias personales, como la asignación de beneficios sociales asociados a becas u otros (programas de alimentación escolar por ejemplo), o de características personales, como la fotografía o imagen. Resulta determinante, por tanto, que en el caso de la JUNAEB se efectúe una auditoría informática, para conocer si su sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, se llevan a cabo eficazmente los fines de la organización y si utiliza eficientemente los recursos.

Con claridad existe una vulnerabilidad en el sistema informático de esta entidad que genera un riesgo para la institución y los titulares de los datos.

Noticia: El Mercurio, LUN

Se trata de reglas o normas de conducta sobre el tratamiento de datos que se autoimpone el que solicita y trata la información personal. Encontramos (o deberíamos encontrar) políticas de privacidad en todos los sitios Web que exijan el registro o bien ofrezcan productos o servicios y tengan formularios donde se soliciten datos personales.

En ciertos casos, debemos leer estas políticas y aceptarlas para poder completar el registro y, en otros, sólo aparecen de manera informativa.

Se trata, en definitiva, de códigos o normas de conducta autoimpuestos por que el trata los datos. La Directiva Europea reconoce los códigos de conducta como una forma de autorregulación y promueve su formación entre los organismos de los diversos sectores económicos que tratan datos para cumplir sus propios fines específicos.

Sin querer entrar en el detalle sobre la validez y real efectividad, las políticas de privacidad son una manifestación de los principios de información, lealtad y finalidad en el tratamiento de datos. Más aún, cuando se trata de tratamiento de datos con características especiales como el tratamiento de datos de menores, lo que como hemos mencionado anteriormente, que consideramos información sensible.  Es indispensable que los sitios que incorporan esta información en bases de datos informen sobre su uso, más aún se exige lo anterior cuando la información es recolectada por organismos públicos, pues de este último esperamos una tutela efectiva de nuestros derechos.

Un mal ejemplo de lo anterior es el concurso educativo “Maratón Minera” organizado por un servicio público que solicita el llenado de un extenso formulario donde “un profesor”  -y no el propio alumno, según los organizadores- debe señalar diversos datos de menores alumnos tales como nombre, edad, domicilio, curso, colegio, etc., y donde lamentablemente no se visualiza por ninguna parte del sitio las Políticas de Privacidad o el uso de la información personal que ha sido solicitada.

Sin embargo, no sólo el Estado es infractor, son muchos los ejemplos (salo, Pascualina), donde a través de atractivas imágenes se solicitan datos personales de menores con el fin de participar en concursos o ser parte de una red social.

En otros casos, como Panini, encontramos políticas sobre el tratamiento datos, lo que se valora , pero lamentablemente se trata de un extenso formulario, que si bien cumple con la finalidad perseguida, los datos al ser solicitados a menores debieran redactarse de manera tan atractiva como el formulario en que les son solicitados sus datos, para así garantizar su real conocimiento y entendimiento.

Fuente : Terra.cl

Nos enteramos esta semana de un grave error de seguridad informática cometido por la Junaeb que afectó los datos personales de miles de estudiantes chilenos. Se trata de la publicación, por más de dos semanas, de los datos personales de los postulantes a la beca Presidente de la República, que año a año beneficia a cerca de 50 mil estudiantes.

Fuente Terra

La irregularidad fue detectada por un usuario del portal de  Terra, específicamente un programador, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas. La información estuvo expuesta en Internet y era accesible desde Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.

De acuerdo a la profesora Lorena Donoso en el artículo datos personales en el sector de la educación, compartimos la idea que el estándar de protección que debe cumplirse, por parte de las entidades ligadas a la educación, es de estricta seguridad.

Ello por varias consideraciones:
1.    El objetivo de la legislación sobre protección de datos es que el tratamiento de éstos se realice de acuerdo a parámetros de lealtad y licitud, de manera que no afecte indebidamente los derechos de los titulares.
2.    En el caso de los niños y jóvenes que integran el sistema educacional, es necesario proteger los intereses superiores de éstos, por tanto, sus datos personales deben ser tratados de acuerdo a este interés.
3.    Como estos datos se refieren a la formación de la persona, y siendo la creación de hábitos fundamental en el proceso educativo estos datos deben ser tratados como datos sensibles, esto es, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

En el sitio Web de esta institución pública no encontramos ninguna alusión a los sucedido ni siquiera disculpas públicas o referencias ante este grave hecho, en el cual, si bien creemos se trata de un error involuntario, no es menor que esto significó la difusión de datos de menores de edad relacionados con su situación socioeconómica y nivel educativo.

El tratamiento de datos que debe seguirse por los organismos públicos debe cumplir el principio de seguridad como principio general, éste se contiene en el artículo 11 de la ley 19.628 : “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Las demás obligaciones, como el registro que contempla el Art. 22 de la ley no aluden al cumplimiento de estándares específicos de seguridad; por otra parte, las sanciones y responsabilidades específicas en este caso, se reducen a la aplicación del Art. 23 de la misma ley.

El proyecto de ley, en actual tramitación en el Congreso, incorpora tres nuevos incisos al artículo 11, señalando que el responsable del tratamiento deberá administrar las medidas técnicas y organizativas que garanticen la seguridad de los datos. Estás serán fijadas por reglamento.

En España el Real Decreto 994-1999 reglamenta las medidas de seguridad que han de guardar los ficheros automatizados que contengan datos personales, estableciendo distintos niveles (alto, medio, básico), correspondiendo para esta clase de datos “alta seguridad”. De la misma forma, hay referencia a los controles de seguridad, responsables y responsabilidades sancionables de acuerdo a la LOPD.

Artículos relacionados:

Medidas de seguridad. Guías prácticas de Microsoft para la adaptación a la LOPD

Seguridad-informatica.cl

Principio de seguridad en la LOPD