Si los ciberdelincuentes que han atacado a varias instituciones publicaran datos confidenciales de personas, quienes los compartan en sus redes sociales se enfrentan a sanciones legales.
Así lo explicó Elizabeth Mora, directora nacional de la Agencia de Protección de Datos de los Habitantes (Prodhab) y especialistas en ciberseguridad y protección de datos.
Según confirmó este 20 de abril el Gobierno, al menos cinco instituciones han sido atacadas por hackers desde la noche del domingo pasado. Entre ellas están: el Ministerio de Hacienda, Ministerio de Ciencia, Innovación y Tecnología (Micitt), Instituto Meteorológico Nacional (IMN), Radiográfica Costarricense (Racsa) y un portal de la Caja Costarricense de Seguro Social.
Desde el lunes pasado circula un mensaje difundido en Twitter en el cual el grupo de hackers Conti divulgó una presunta acción en la que habría obtenido un terabyte (1.000 gigabytes de almacenamiento) de información de las bases de datos de la institución hacendaria y amenaza con hacerla pública el 23 de abril, a menos de que se haga un pago.
Estos grupos generalmente piden dinero a los afectados o, de lo contrario, publican los datos que pueden contener información confidencial de las personas. En Costa Rica rige la ley 8968, Protección de la Persona frente al Tratamiento de sus Datos Personales, la cual precisamente tiene como objetivo garantizar el derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad.
“De conformidad con el artículo 30 de la ley número 8968, recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos es considerado una falta grave. Y en caso que, se trate de datos personales sensibles, es considerado una falta gravísima”, explicó Mora.
En cualquiera de los casos, añadió la Directora, corresponden las sanciones establecidas en el artículo 28 de la legislación, lo que puede conllevar a una multa desde cinco hasta 30 salarios base del cargo de auxiliar judicial I, e incluso la suspensión para el funcionamiento de la base de datos de uno a seis meses.
Actualmente, el salario base del cargo de auxiliar judicial I es de ¢462.200 por lo tanto el rango de la sanción oscila entre ¢2.311.000 y ¢13.866.000.
Para el abogado León Weinstok, director del bufette BLP y profesor de Protección de Datos, también podría ser un delito penal, según el artículo 196 bis del Código Penal
Dicho artículo indica: “Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos”.
El abogado de ECIJA Legal, Daniel Rodríguez, especialista en Tecnología y Protección de Datos, añadió que el hecho de que los datos se filtren ilegalmente a la luz pública, no los convierte en datos de acceso público.
“Siguen siendo datos personales protegidos, por lo tanto, cualquier uso posterior de esa información para fines distintos, podría implicar sanciones administrativas por parte de la Agencia de Protección de Datos (Prodhab) o incluso responsabilidad penal si se demuestra que se obtuvo un beneficio propio o para un tercero por el uso de esa información”, comentó Rodríguez.
Y, ¿qué pasaría si es un medio de comunicación utiliza los datos de personas publicados por los ciberdelincuentes?
Mora explicó que el artículo 6 de la ley de Protección de la Persona frente al tratamiento de sus datos personales, en su apartado 4: “Adecuación al fin”, indica que los datos de carácter personal solo podrán ser recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
“Por lo que, de conformidad con este principio, si los medios de comunicación publicaran información personal que desde el punto de vista del Ministerio de Hacienda es de índole confidencial, y que según la citada normativa se catalogan como datos sensibles, estarían rompiendo con el principio de adecuación al fin y por lo tanto, esto podría implicar que el medio incurra en alguna de las faltas establecidas en esta legislación y sean objeto de las correspondientes sanciones”, consideró Mora.
Sin embargo, para Weinstok, en este tema también se podría discutir el interés público de la noticia.
¿Cómo denunciar?
¿Qué opciones legales tienen las personas si se publican sus datos confidenciales? Mora detalló que cualquier persona que considere que sus datos personales fueron tratados inadecuadamente, por este o cualquier otro caso, puede presentar su denuncia ante la Prodhab.
Para ello, debe ingresar al sitio web http://prodhab.go.cr/procedimientosdeprote/, descargar el respectivo formulario y presentarlo en las oficinas de la Prodhab. Otra opción es enviarlo mediante Correos de Costa Rica o mediante correo electrónico si cuenta con firma digital.
En caso de dudas sobre este procedimiento, las personas pueden comunicarse con uno de los asesores legales de la Prodhab a través de la línea 2234-0189 o al correo info@prodhab.go.cr”.