El Consejo para la Transparencia (CPLT) informó este viernes que, en el marco de una fiscalización realizada entre abril y julio de este año, recibió de parte de Carabineros datos personales como el RUT de los solicitantes de distintos tipos de permisos de la Comisaría Virtual.
Se trató de una fiscalización del CPLT que arrojó, entre otros hallazgos, la entrega masiva del número de identificación de los solicitantes de algún tipo de permiso o salvoconducto en Comisaría Virtual, tras limitarse la libertad de desplazamiento en tiempos de emergencia sanitaria por Covid-19.
“Esto a partir de la entrega del banco de datos que contenía esta información personal de los usuarios de la plataforma y que Carabineros remitió al CPLT en el marco del proceso de auditoría”, informó el CPLT.
Detallan que la respuesta de la entidad policial a una solicitud del organismo –bajo la metodología de usuario simulado- permitió “acceder a los datos de comuna, Estado Final (Emitido/Permiso No Emitido), Fecha, ID, Nombre Empresa, Origen, Proceso ID (tipo de permiso), Rubro, RUN Personas Naturales, RUT Personas Jurídicas”.
Gloria de la Fuente, la presidenta del consejo, explicó que este tipo de situaciones permite mostrar que “el acceso a datos personales no sólo ocurre por hackeos, sino muchas veces por acciones o decisiones que favorecen la exposición de información personal, que en este caso involucran datos sensibles, como ocurre con información sobre hábitos como cuántas veces a la semana y en qué horarios voy al doctor o compro alimentos o medicamentos para mi familia”.
“La digitalización es un esfuerzo en el que estamos comprometidos, pero ésta debe ir de la mano con una generación de conciencia a nivel de los organismos públicos y con la instalación de un ecosistema de seguridad de los datos, es decir, un marco regulatorio específico que determine las obligaciones y responsabilidades que deben asumir tanto el sector público como el privado”, dijo De la Fuente.
Base de datos sin inscripción
En este mismo proceso de fiscalización, el CPLT informó sobre la tardía inscripción en el Registro Civil del banco de datos generado con la información de millones de personas, obligación establecida en la ley vigente de protección de datos personales.
Desde el Consejo explicaron que, en el contexto del análisis de la situación de seguridad de los bancos de datos asociados a la Comisaría Virtual, pese a que dado que la ley vigente presenta falencias “sí establece que los organismos del Estado deben inscribir estas bases ante el Registro Civil e Identificación”, subrayó De la Fuente.
Para auditar que se diera cumplimiento a lo anterior, el equipo de fiscalizadores del Consejo realizó solicitudes de acceso a la información a este organismo y a Carabineros, logrando establecer que, al 30 de junio, la policía uniformada no había hecho el mencionado registrado. Durante el desarrollo del proceso de fiscalización, la entidad informó con fecha 11 de agosto que la inscripción se encontraba en proceso.
Políticas de privacidad
Otra de las aristas auditadas en el marco del proceso impulsado por el Consejo, incluyó la revisión de las políticas de privacidad y términos y condiciones de uso y tratamiento de información personal. En el marco de la auditoría, se evidenció, a partir de información entregada por la institución uniformada, que Carabineros no habría tenido al 9 de julio de 2020 una política de privacidad disponible para informar a los usuarios la forma en que se trataría y resguardaría su información personal, puesto que comunicó que esta se encontraba en “actual desarrollo”. El enlace a éstas se habilitó cerca de un mes después.
Acorde al análisis del CPLT esta política de privacidad “presenta información general relacionada a la construcción de la plataforma” y contiene algunas “deficiencias”, como, por ejemplo, no contemplaría antecedentes sobre “posibles transferencias de datos, derechos de los titulares de los datos y tiempo de conservación de la información, pese al deber de informar que tienen los organismos de la administración del Estado”, se lee en el informe del organismo.
Recomendaciones
El CPLT remitió a organismos de la administración central del Estado recomendaciones actualizadas en materia de protección de datos personales, como una forma de enfrentar algunas situaciones que evidenció con más fuerza la pandemia y de colaborar mientras no haya un ecosistema de seguridad de datos para resguardar adecuadamente a los ciudadanos.