La privacidad puede definirse como el ámbito individual de la vida que contempla los ámbitos intrínsecos de la persona y nos definen como seres únicos. Es el espacio propio que reafirma y constituye la dignidad, permite el libre desarrollo de las ideas, pensamientos, costumbres, creencias, relaciones. etc. Por eso, tenemos derecho a protegerlo de otros, por lo trascendente que es para existir como seres humanos. No debe ser objeto de injerencias o intrusiones arbitrarias, esto incluye, en principio, la familia, el domicilio, el estado de salud, las comunicaciones, la propia honra y reputación, sea a nivel físico o digital. Tiene que ver con la capacidad de la persona para determinar cuándo, de qué manera y hasta qué punto comparte con otros esa información y espacio, los alcances y los límites de su relación con lo público.
De acuerdo a los estándares internacionales de derechos humanos, el Estado está en la obligación de adoptar medidas legislativas y de cualquier otra índole para proteger el derecho a la privacidad, prohibiendo cualquier tipo de injerencias o ataques en contra del derecho. En tal sentido, debe estar garantizado, aun cuando los ataques o intrusiones provengan de instituciones o autoridades gubernamentales, personas físicas o entidades jurídicas.
Las limitaciones al derecho a la privacidad deben estar previstas de manera específica en la legislación nacional y deben ser de conocimiento público. De acuerdo a los principios del derecho, estos motivos sólo pueden estar relacionados con la soberanía nacional, la seguridad nacional, la seguridad pública, la protección de la salud pública, el combate a la criminalidad, el cumplimiento de normativas u otras prerrogativas de orden público o el interés público. En cualquier caso, la limitación debe cumplir con el test tripartito; ser necesaria, proporcional y cumplir estrictamente con fines legales.
En los casos que sea necesario, los datos personales deberían ser recopilados solamente para fines legítimos y por medios legales. Este principio debe respetarse en todas las etapas del tratamiento de los datos: al momento de la recopilación, compilación, almacenamiento, utilización, divulgación y posterior eliminación de datos personales. En resumen, la finalidad de la recopilación de datos debe ser transparente y no debe ser distinta a la establecida al inicio del proceso.
De igual forma, la recopilación de datos personales debe ser limitada y debe darse bajo el consentimiento de la persona, la cual no debería estar sometida bajo ningún mecanismo o situación de coacción.
De acuerdo al principio de confidencialidad en el tratamiento de los datos, estos no deberían divulgarse o ponerse a disposición de terceros, excepto con el consentimiento de la persona en cuestión o bajo autoridad de la ley. Por este motivo, los datos deben estar protegidos por salvaguardias de seguridad técnicas, administrativas u organizacionales adecuadas contra tratamientos no autorizados o ilegítimos. Estos mecanismos deben garantizar que los datos no sean sujetos de destrucción, daños o divulgación, aun cuando esto suceda de manera accidental.
Venezuela hoy
En el país no existen instrumentos o leyes que protejan de manera estructural los datos personales. Existen normativas aisladas que pueden servir de base para exigir mayores criterios y mecanismos de protección, acorde a los estándares actuales. Es necesario un sistema integrado de normas, procedimientos y prácticas que garanticen de forma efectiva el derecho a la privacidad, bajo principios de transparencia, contraloría e independencia.
La Constitución ofrece un concepto aproximado que invoca la protección del honor, vida privada, intimidad, propia imagen, confidencialidad, y reputación. Asimismo, otra ley contempla el habeas data, o el derecho que tenemos a conocer nuestros datos que consten en instituciones públicas o privadas, lo que implica el derecho a exigir su supresión, rectificación, confidencialidad, inclusión, actualización o el uso correcto de datos cuando resulten inexactos o agraviantes. Sin embargo, estas consideraciones no son suficientes frente a la realidad de la gestión de datos en Venezuela, que desde el Estado plantea opacidad y poca transparencia, lo cual a su vez es replicado por instituciones privadas, y está muy lejos de cumplir con los estándares de protección de datos a nivel global.
Los ataques de sistemas informáticos en el país han puesto en evidencia la falta de medidas a implementar por parte de los entes, organismos y/o empresas para proteger los datos de los usuarios/as. En los casos más recientes, no se gestionaron mecanismos para informar debidamente a los usuarios/as sobre los riesgos, los alcances del daño y las medidas de contención.
Casos recientes
Digitel
Fue por redes sociales a finales de enero pasado que empezó a circular información sobre un supuesto ataque a la operadora privada Digitel. Según el portal especializado Asilo Digital, el ciberataque fue el 30 de enero. Ese día, la empresa anunció en su página web que detectó una amenaza de seguridad en su sistema y bloqueó “temporalmente” sus servidores para prevenir hackeos y filtraciones de información. Pero no fue sino el 1º de febrero que comunicó formalmente, sin dar mayores detalles, la “incidencia ocurrida en días pasados”.
En el ataque, los datos de personas usuarias, empleadas, empresas y aliados de Digitel fueron vulnerados a través de Medusa 1 , el ransomware 2 utilizado por los hackers para dejar a la empresa sin acceso a los datos, y para copiarlos fuera de su red con el fin de exigir el pago de cinco millones de dólares para borrarla. Los ciberdelincuentes liberaron los datos y la información extraída luego de darle plazo a Digitel hasta el 11 de febrero para pagarle cinco millones de dólares a cambio de borrar los datos encriptados. La divulgación representó una vulneración a la privacidad, contrario a la protección de datos personales.
Los comunicados no detallaron las medidas implementadas para responder al ataque. Con las reservas técnicas necesarias para evitar mayores riesgos, fue necesario dar cuenta de la implementación de protocolos de seguridad, las medidas para mitigar riesgos y daños, así como las medidas de reparaciones por la filtración de datos.
Banco de Venezuela
El primer reporte sobre el ciberataque se conoció a través del blog de la organización Lock Bit 3, que alertó que la entidad bancaria había sufrido un ataque de ransomware; un software malicioso que secuestra los datos de los usuarios impidiendo el acceso por parte de los mismos. Asimismo, otras organizaciones como Redpack Security, publicaron una alerta sobre el hackeo.
El 19 de abril de 2023, Ve sin filtro citó un reporte de un usuario anónimo de la red social X (anteriormente Twitter) quien se adjudicó el ataque.
El mismo día y horas después de difundirse la información, el Banco de Venezuela publicó un comunicado en sus redes sociales en donde no desmentía la situación, pero tampoco aseguraba ser víctima de un ataque de manera clara o explícita, asegurando que el funcionamiento de la plataforma se encontraba en total normalidad, con garantías para el servicio y la seguridad a los usuarios/as.
El ciberataque no representó ninguna amenaza para los fondos manejados por la entidad bancaria; sin embargo, el director de la organización Ve sin filtro, explicó que se desconoce el número de datos que fueron sustraídos por LockBit, y su naturaleza.
Finalmente, y después de tres meses del presunto ataque, datos como cédulas, registros fiscales y solicitudes de seguros, se hicieron públicos el 13 de julio. Sobre este hecho, el banco no hizo ningún pronunciamiento al respecto. Esto confirmó la existencia de un ataque que vulneró efectivamente los datos de las personas usuarias, que no fueron notificadas debidamente ni resarcidas por el daño real o potencial de la exposición indebida de su información. El carácter público del Banco de Venezuela en tanto empresa estatal, suma agravantes pues ya no se trata solo de responsabilidades sino de obligaciones legales directas respecto al manejo seguro de datos.
Obligaciones del Estado
De acuerdo a lo establecido en estándares internacionales, el Estado está obligado a adoptar medidas legislativas o de cualquier otra índole para proteger el derecho a la privacidad, a través de la prohibición o contención de cualquier tipo de injerencias o ataques en contra de la seguridad personal e identidad de las personas. En tal sentido, el derecho a la privacidad debe estar garantizado, aun cuando los ataques o intrusiones provengan de entes o personalidades gubernamentales, personas físicas, entidades jurídicas, empresas o iniciativas particulares.
Toda limitación o intrusión establecida desde el Estado a este derecho debe ser proporcional, legítima y necesaria en correspondencia con los principios democráticos. Por eso, deben estar expresamente establecidas en la legislación nacional y ser de conocimiento público. Según los principios del derecho, estos motivos sólo pueden estar relacionados con la soberanía nacional, la seguridad nacional, la seguridad pública, la protección de la salud pública, el combate a la criminalidad, el cumplimiento de normativas u otras prerrogativas de orden público válidas.
Los datos personales solo deberían ser almacenados para fines legítimos y por medios legales, respetando la confidencialidad y no divulgación de los mismos. Este criterio debe implementarse en todas las etapas del tratamiento de los datos: al momento de la recopilación, compilación, almacenamiento, utilización, divulgación y posterior eliminación de datos personales. En resumen, la finalidad de la recopilación de datos debe ser transparente y no debe ser distinta a la establecida al inicio del proceso.
Por último y no menos importante, la recopilación de datos personales debe darse con total consentimiento de la persona, la cual no debe estar sometida bajo ningún mecanismo o situación de coacción.
En conclusión, el Estado está obligado a seguir estos criterios para garantizar el derecho a la privacidad, bien sea cuando este hace manejo de datos personales y en el caso de terceros o empresas privadas, velar y asistirlos para que cumplan con dichos criterios.
Responsabilidades de las empresas
Actualmente la mayoría de las empresas privadas manejan y almacenan datos personales de sus clientes para ofrecer sus productos y servicios de manera directa. Las empresas tienen responsabilidades, distintas a los Estados, pero igual de vinculantes para el Sistema de Protección Universal de Derechos Humanos, en tanto deben actuar apegadas a la ley y estándares que regulan este aspecto.
En este sentido, la mayoría de las obligaciones estatales equivalen a responsabilidades para las empresas, las cuales no están atadas legalmente de forma directa, pero deben cumplir con las leyes nacionales que a su vez deben cumplir con los estándares internacionales de protección. El principio del que deriva la obligación estatal o la responsabilidad empresarial es el mismo; los datos manejados son de las personas, no de los Estados ni las empresas, y en función de esa expresión básica de la identidad y dignidad humanas, tales datos deben ser protegidos.
Por ejemplo, al momento de solicitar datos personales, las empresas deben ser transparentes con respecto al uso que le darán a esta información; deben contar con una plataforma que garantice la seguridad de los datos para evitar posibles filtraciones. De igual forma, en el caso de que se vulnere la seguridad de la empresa y se filtren datos personales de sus clientes o beneficiarios, existen varias medidas que debe tomar la entidad para hacer un manejo adecuado de la situación.
En primer lugar, esta situación se debe notificar a las instituciones del Estado competentes en el área para hacer cumplir la legislación vigente. Este primer paso debe ser comunicado a la brevedad posible, entendiendo las consecuencias y gravedad del asunto. Por otro lado, la compañía debe implementar medidas que permitan restaurar la seguridad digital de la empresa y garantizar que no se repitan estas situaciones, para ello debe contar con un equipo de expertos en ciberseguridad que sea capaz de precisar las vulneraciones registradas, su alcance y repercusiones.
Con respecto a la relación con los clientes, estos deben ser notificados oportunamente e informados sobre qué tipo de datos fueron expuestos. En este mismo sentido, se recomienda que la compañía ofrezca información transparente sobre la incidencia y tome medidas para resarcir a las víctimas.
Venezuela está lejos de cumplir con las medidas básicas de protección de datos personales, dentro y fuera del Estado. La ausencia de medidas efectivas y garantistas en materia de protección de la información, junto a la ausencia de costos frente a ataques y accesos indebidos fortalecen una cultura de opacidad a todos los niveles respecto a la administración de datos personales. Los esfuerzos de algunas entidades privadas no son suficientes ni responden a medidas estructurales de prevención y contención de daños. Ante ataques masivos, no hay transparencia con las personas usuarias, no se les informa debidamente, por lo que se desconoce el alcance real de los daños y sus consecuencias.
El Estado es el primer eslabón en la línea de obligaciones y responsabilidades frente a la protección de datos, de manera preventiva y proactiva. Y en función de eso, debe acompañar, asistir y exigir a las empresas el cumplimiento de los mismos estándares de cara a salvaguardar los intereses de la sociedad: resguardar la integridad y privacidad de la información personal como expresión de un derecho humano civil.
- Programa malicioso que al infectar un dispositivo bloquea su funcionamiento, exigiendo el pago de dinero para restablecer el manejo del sistema y suele infectar mediante archivos y descargas maliciosas.[↩]
- Rasonware es un tipo de programa dañino que cifra los archivos para extorsionar al propietario pidiéndole dinero.[↩]
- Hace referencia a todas las páginas web a las que no se puede acceder desde los motores de búsqueda.[↩]
