Fuente : Terra.cl

Nos enteramos esta semana de un grave error de seguridad informática cometido por la Junaeb que afectó los datos personales de miles de estudiantes chilenos. Se trata de la publicación, por más de dos semanas, de los datos personales de los postulantes a la beca Presidente de la República, que año a año beneficia a cerca de 50 mil estudiantes.

Fuente Terra

La irregularidad fue detectada por un usuario del portal de  Terra, específicamente un programador, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas. La información estuvo expuesta en Internet y era accesible desde Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.

De acuerdo a la profesora Lorena Donoso en el artículo datos personales en el sector de la educación, compartimos la idea que el estándar de protección que debe cumplirse, por parte de las entidades ligadas a la educación, es de estricta seguridad.

Ello por varias consideraciones:
1.    El objetivo de la legislación sobre protección de datos es que el tratamiento de éstos se realice de acuerdo a parámetros de lealtad y licitud, de manera que no afecte indebidamente los derechos de los titulares.
2.    En el caso de los niños y jóvenes que integran el sistema educacional, es necesario proteger los intereses superiores de éstos, por tanto, sus datos personales deben ser tratados de acuerdo a este interés.
3.    Como estos datos se refieren a la formación de la persona, y siendo la creación de hábitos fundamental en el proceso educativo estos datos deben ser tratados como datos sensibles, esto es, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

En el sitio Web de esta institución pública no encontramos ninguna alusión a los sucedido ni siquiera disculpas públicas o referencias ante este grave hecho, en el cual, si bien creemos se trata de un error involuntario, no es menor que esto significó la difusión de datos de menores de edad relacionados con su situación socioeconómica y nivel educativo.

El tratamiento de datos que debe seguirse por los organismos públicos debe cumplir el principio de seguridad como principio general, éste se contiene en el artículo 11 de la ley 19.628 : “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Las demás obligaciones, como el registro que contempla el Art. 22 de la ley no aluden al cumplimiento de estándares específicos de seguridad; por otra parte, las sanciones y responsabilidades específicas en este caso, se reducen a la aplicación del Art. 23 de la misma ley.

El proyecto de ley, en actual tramitación en el Congreso, incorpora tres nuevos incisos al artículo 11, señalando que el responsable del tratamiento deberá administrar las medidas técnicas y organizativas que garanticen la seguridad de los datos. Estás serán fijadas por reglamento.

En España el Real Decreto 994-1999 reglamenta las medidas de seguridad que han de guardar los ficheros automatizados que contengan datos personales, estableciendo distintos niveles (alto, medio, básico), correspondiendo para esta clase de datos “alta seguridad”. De la misma forma, hay referencia a los controles de seguridad, responsables y responsabilidades sancionables de acuerdo a la LOPD.

Artículos relacionados:

Medidas de seguridad. Guías prácticas de Microsoft para la adaptación a la LOPD

Seguridad-informatica.cl

Principio de seguridad en la LOPD