¿Se deben notificar las fallas de seguridad informática?
Enviado por pablopalazzi el Lun, 2007-02-05 11:23
Desde hace un tiempo tienen lugar y se publicitan abiertamente fallas de seguridad a distintos niveles de los sistemas informáticos de empresas de todo tipo en Estados Unidos.
El listado actualizado de estos eventos (que empezó con el caso ChoicePoint) lo lleva la Privacy Rights Clearinghouse y la conclusión es que a la fecha ya se han robado o comprometido datos personales de mas de 100 millones de norteamericanos (para ser mas exactos: 101,070,850).
Esto ha provocado que a nivel estadual se establezcan leyes requiriendo que toda empresa que sufra una falla de seguridad o “pierda” datos personales (en una laptop, pen drive, blackberry, etc) debe elaborar una notificación y dirigirla a los clientes cuya información ha sido potencialmente comprometida.
En algunos casos se requiere también que esta notificación se ponga en conocimiento de la autoridad de aplicación correspondiente (si existe). El fundamento de esta notificación es
- Lograr que el cliente esté advertido de los potenciales riesgos que estas fugas de información ocasionan;
- Evitar también el robo de identidad;- Compartir estas estadísticas para facilitar estudios sobre seguridad;
- Y por último, hacer que las empresas, frente al temor por la publicidad de estos incidentes, dediquen una mayor parte de su presupuesto en seguridad informática.
Hacia una ley federal sobre seguridad informática?
El primero estado en legislar esta obligación fue el estado de California (SB-1386). Luego le siguieron otros y actualmente hay mas de 35 estados con legislaciones de esta clase (conocidas como breach notification statutes). El problema es que todas estas leyes estaduales son distintas y en algunos casos provoca muchos inconvenientes para empresas con presencia simultánea en varios estados, al tener que determinar cuál ley se debe aplicar. Por eso ya se está discutiendo la aprobación de una ley uniforme o de una norma a nivel federal, como lo señala esta nota del Washington Post que señala que no solo se aplicará a entidades financieras sino a todo tipo de empresas cuyos datos hayan sido vulnerados (puede verse un comentario a los dos proyectos en esta nota de CNet News.com y texto en PDF ).
La tendencia a sancionar leyes que obliguen a notificar una falla de seguridad se está extendiendo a Canadá, y a otros países de la Unión Europea. En la Unión Europea también se está discutiendo la posibilidad de aprobar normas similares y se ha generado un documento de trabajo - PDF. Las normas actualmente vigentes son muy acotadas . Se planea hacerlo a través de una reforma a la Directiva en materia de Telecomunicaciones. Actualmente esta directiva solo obliga a los proveedores de servicios de telecomunicaciones a notificar a sus clientes de los riesgos en materia de seguridad pero no establece que deba informarse sobre las fallas concretas en materia de seguridad.
Actualmente la ley inglesa en su artículo 5 sigue la directiva y requiere avisar sobre medidas de seguridad, pero se entiende que esta norma apunta mas a cuestiones de encriptado para preservar la confidencialidad de comunicaciones.
Argentina
Como las legislaciones llegan a todos lados, ya sea por moda o por necesidad, nos preguntamos ¿qué sucederá en Argentina?
Si bien en Argentina no están vigentes normas que obliguen a revelar fallas de seguridad a los clientes (el art. 9 de la ley 25.326 y la Disp. DNPDP 11/2007 se refieren solamente a medidas a adoptar), entendemos que en caso de conocer que esta falla eventualmente podrá originar un daño, recae sobre el responsable del tratamiento (generalmente una entidad financiera) la obligación de hacerle saber al cliente la fuga de datos para evitar agravar o permitir el hecho ilícito generador del daño (el ejemplo cláisco sería el robo de identidad, pero también podrían ser compras online con datos sobre tarjetas robadas).
Esta obligación genérica de evitar el acaecimiento o agravamiento del daño o mitigar el existente tiene su fundamento, según mi parecer, en la obligación de obrar de buena fe prevista en el art. 1198 del Código Civil.
Creo que en nuestro país también sería importante legislar esta cuestión, y a tal fin sería posible aprovechar que el Senado está trabajando en una modificación de la ley 25.326 que a fin del año pasado tuvo media sanción de Diputados. Se podría incluir en el art. 9 de la ley de protección de datos personales un párrafo estableciendo este deber para todo aquel que sufra alguna vulnerabilidad o hacking en sus bases de datos que comprometa datos personales.
Pablo Palazzi
El listado actualizado de estos eventos (que empezó con el caso ChoicePoint) lo lleva la Privacy Rights Clearinghouse y la conclusión es que a la fecha ya se han robado o comprometido datos personales de mas de 100 millones de norteamericanos (para ser mas exactos: 101,070,850).
Esto ha provocado que a nivel estadual se establezcan leyes requiriendo que toda empresa que sufra una falla de seguridad o “pierda” datos personales (en una laptop, pen drive, blackberry, etc) debe elaborar una notificación y dirigirla a los clientes cuya información ha sido potencialmente comprometida.
En algunos casos se requiere también que esta notificación se ponga en conocimiento de la autoridad de aplicación correspondiente (si existe). El fundamento de esta notificación es
- Lograr que el cliente esté advertido de los potenciales riesgos que estas fugas de información ocasionan;
- Evitar también el robo de identidad;- Compartir estas estadísticas para facilitar estudios sobre seguridad;
- Y por último, hacer que las empresas, frente al temor por la publicidad de estos incidentes, dediquen una mayor parte de su presupuesto en seguridad informática.
Hacia una ley federal sobre seguridad informática?
El primero estado en legislar esta obligación fue el estado de California (SB-1386). Luego le siguieron otros y actualmente hay mas de 35 estados con legislaciones de esta clase (conocidas como breach notification statutes). El problema es que todas estas leyes estaduales son distintas y en algunos casos provoca muchos inconvenientes para empresas con presencia simultánea en varios estados, al tener que determinar cuál ley se debe aplicar. Por eso ya se está discutiendo la aprobación de una ley uniforme o de una norma a nivel federal, como lo señala esta nota del Washington Post que señala que no solo se aplicará a entidades financieras sino a todo tipo de empresas cuyos datos hayan sido vulnerados (puede verse un comentario a los dos proyectos en esta nota de CNet News.com y texto en PDF ).
La tendencia a sancionar leyes que obliguen a notificar una falla de seguridad se está extendiendo a Canadá, y a otros países de la Unión Europea. En la Unión Europea también se está discutiendo la posibilidad de aprobar normas similares y se ha generado un documento de trabajo - PDF. Las normas actualmente vigentes son muy acotadas . Se planea hacerlo a través de una reforma a la Directiva en materia de Telecomunicaciones. Actualmente esta directiva solo obliga a los proveedores de servicios de telecomunicaciones a notificar a sus clientes de los riesgos en materia de seguridad pero no establece que deba informarse sobre las fallas concretas en materia de seguridad.
Actualmente la ley inglesa en su artículo 5 sigue la directiva y requiere avisar sobre medidas de seguridad, pero se entiende que esta norma apunta mas a cuestiones de encriptado para preservar la confidencialidad de comunicaciones.
Argentina
Como las legislaciones llegan a todos lados, ya sea por moda o por necesidad, nos preguntamos ¿qué sucederá en Argentina?
Si bien en Argentina no están vigentes normas que obliguen a revelar fallas de seguridad a los clientes (el art. 9 de la ley 25.326 y la Disp. DNPDP 11/2007 se refieren solamente a medidas a adoptar), entendemos que en caso de conocer que esta falla eventualmente podrá originar un daño, recae sobre el responsable del tratamiento (generalmente una entidad financiera) la obligación de hacerle saber al cliente la fuga de datos para evitar agravar o permitir el hecho ilícito generador del daño (el ejemplo cláisco sería el robo de identidad, pero también podrían ser compras online con datos sobre tarjetas robadas).
Esta obligación genérica de evitar el acaecimiento o agravamiento del daño o mitigar el existente tiene su fundamento, según mi parecer, en la obligación de obrar de buena fe prevista en el art. 1198 del Código Civil.
Creo que en nuestro país también sería importante legislar esta cuestión, y a tal fin sería posible aprovechar que el Senado está trabajando en una modificación de la ley 25.326 que a fin del año pasado tuvo media sanción de Diputados. Se podría incluir en el art. 9 de la ley de protección de datos personales un párrafo estableciendo este deber para todo aquel que sufra alguna vulnerabilidad o hacking en sus bases de datos que comprometa datos personales.
Pablo Palazzi
