¿Cómo proteger los datos personales de ataques cibernéticos?

Los ciberataques en Ecuador se han convertido en parte del paisaje. Hace solo unos meses atrás, el pasado 14 de junio, la Corporación Nacional de Telecomunicaciones (CNT) sufrió un ataque informático del cual poco detalle se reveló. Un hecho que alarmó pues la institución no solo brinda servicios de telefonía, también guarda las bases de datos de información del Estado.

Pero este tipo de hechos también se han extendido, la semana pasada, los canales electrónicos del Banco Pichincha, fueron presa de un "incidente de ciberseguridad" como reportó la entidad bancaria.

Frente a ello, ¿cómo proteger los datos personales de ataques cibernéticos? Aquí algunas pautas:

Confusión en el marco legal

El pasado 13 de octubre, la Comisión de Desarrollo Económico trató los hechos ocurridos en la entidad bancaria, durante la sesión Zaida Rovira, abogado y vocera de Mis Datos Me Pertenecen, señaló que hay múltiples denuncias de débitos indebidos en instituciones financieras, por ello dijo que era urgente implementar mecanismos de protección de datos.

Empecemos, primero, revisando ¿con qué leyes cuenta el país? Hace casi cinco meses, el pasado 26 de mayo, entró en vigencia la Ley de Protección de Datos Personales que, entre otras cosas expone que las personas podrán exigir que su información sea eliminada de las bases con fines comerciales, y además, permite que la entrega de la misma se debe dar en un plazo de 15 días. Sin embargo, la Ley plantea una moratoria para el régimen sancionatorio administrativo que entrará recién en acción en 2023.

En ese punto, Pablo Solines, presidente de la Asociación Ecuatoriana de Datos Personales (AEPD), recalca que "existe una confusión con respecto a la aplicabilidad, la Ley es de aplicación inmediata, la moratorio es solo desde el punto de vista administrativo". Es decir, un afectado no está impedido de "llevar reclamos o acciones civiles o penales si cree haber sido vulnerado en cuanto a sus datos personales".

Asimismo, Solines subraya que la Ley exige que la empresa o la institución tiene la obligación de notificar las brechas de seguridad. "El titular afectado debe conocer sobre qué datos fueron expuestos, de qué forma se expusieron, las medidas de seguridad aplicadas y el potencial riesgo identificado".

Por otro lado, Alfredo Velazco, director de la plataforma Usuarios Digitales, agrega que a pesar que la norma dispone la designación de un Superintendente de Protección de Datos, "el tema es que aún no hay autoridad que la aplique". Su figura expone, será indispensable para el control ante los ataques e irregularidades.

"Más allá de la Ley, también tenemos una serie de leyes aproximadamente nueve que hablan sobre el abuso de datos personales de las personas", señala Velazco. Uno de ello se expone en el artículo 229 del COIP (Código Orgánico Integral Penal) que versa sobre la Revelación ilegal de base de datos, "la persona que, en provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos", será sancionado con una pena de uno a tres años de prisión.

Pero a pesar del marco legal, Ecuador está lejos de sortear los retos en cuanto a materia digital. “Un informe de la OEA de 2019 expuso que estamos por debajo de la media en niveles de seguridad en la Región, sobre todo en cuanto al conocimiento de los ciudadanos para proteger sus datos”, recuerda Velazco.

Según su visión la razón se debe a que en el país no se ha tomado acciones con la eficacia requerida, como ejemplo destaca que hace unos años "se eliminó la materia de computación en la secundaria, los chicos de ahora van a ser los ciudadanos atacados de mañana”.