Hermes Solano
El hackeo al Ministerio de Hacienda y otras instituciones públicas, como el Ministerio de Trabajo y Fodesaf podría generar la publicación de información sensible de personas y empresas.
Incluso ya hubo una amenaza de Conti respecto a que si no hay un pago publicarán información del sector privado.
Un usuario de twitter aseguró que la información vulnerada y que ya está en la dark web, tiene entre otros datos de las personas y empresas: nombre completo, cédula, profesión, dirección, email, fecha de nacimiento.
https://twitter.com/sebastianmont__/status/1516955440533446658
¿Qué puede hacer una persona o empresa que se sienta afectada en caso de filtración de la información?
El Observador consultó a tres abogados, uno experto en protección de datos, otro en derecho informático y uno más en derecho tributario para conocer los alcances de la situación y lo que podría suceder con el Estado, como responsable.
“Si se demuestra una vulneración por negligencia, existe una clara responsabilidad del Estado”, afirmó Francisco Villalobos, exdirector de Tributación Directa y abogado experto en ese campo.
Aquellos que consideren están siendo afectados por la publicación de información por parte de los hackers o ciberdelincuentes deben cumplir con una serie de pasos para actuar.
“Debe solicitarle a Hacienda que se le certifique cuál información ha sido vulnerada y luego demostrar el daño”, dijo el experto.
“No es tan sencillo, pero uno podría montar un caso de la existencia de un daño a la imagen, a mi patrimonio”.
“Habría que probar que Hacienda no pagó las licencias, el lugar por donde entraron los hackers, por qué entraron por ahí y no estaba resguardado”, añadió.
OBSERVE MÁS: Hackers de Conti atacan y capturan información de Fodesaf y Ministerio de Trabajo
Dos vías
Los abogados Adalid Medrano y Andrés Corrales fueron enfáticos en lo complejos que son estos casos, que se pueden dar en dos vías; uno a través de una denuncia en la Agencia de Protección de Datos de los Habitantes (Prodhab); y el otro en la vía judicial.
En el primero lo que pasaría es que después de una investigación y en caso de encontrarlo culpable, se sancionaría con una multa al ministerio de Hacienda.
La otra se realizaría en el contencioso administrativo y si se da una sentencia contra el Estado se deberá indemnizar a los afectados.
“Hay que ser claros, para el nivel de gravedad de esta filtración, no podríamos decir que las multas de la agencia de protección de datos serían suficientes”, indicó Medrano, experto en derecho informático.
Eso sí, para presentar una denuncia civil o penal se debe contar con pruebas del daño al que ha sido objeto por la filtración de los datos.
Po su parte, Corrales afirma que es la agencia de protección de datos la que tiene que investigar lo sucedido; sin embargo, considera que la situación es compleja y que además, este órgano, adscrito al ministerio de Justicia, ha quedado debiendo.
“Cualquier organización pública o privada puede ser sujeta de ataque y la ley así lo reconoce”, explicó el abogado,
El experto en protección de datos afirma que la Prodhab debe entrar a investigar si las bases de datos están inscritas ante ellos, si hubo negligencia y demás.
Sin embargo, considera que la agencia ha quedado debiendo en sus funciones, lo que no es un buen augurio.
“Ha demostrado ser incompetente en sus funciones y en su rol fiscalizador en la protección de datos”.
OBSERVE MÁS: Fiscalía abre expediente y visita Hacienda por “hackeo” pero sin identificar sospechosos por ahora
¿Qué dice la ley?
La ley 8968: Protección de la Persona frente al tratamiento de sus datos personales, en su artículo 28 habla de las sanciones o multas que se imponen:
-Para las faltas leves, una multa hasta de cinco salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República.
-Sobre las faltas graves, una multa de cinco a veinte salarios base del cargo de auxiliar judicial I.
-Para las faltas gravísimas, una multa de quince a treinta salarios base del cargo de auxiliar judicial I, y la suspensión para el funcionamiento del fichero de uno a seis meses.
Actualmente se utiliza como salario base el monto de ¢462.200 para este año, por lo que las multas irían desde los ¢2,3 millones, la mínima y la máxima de ¢13,8 millones.
OBSERVE MÁS: Instituciones públicas extreman medidas ante riesgo de más ataques informáticos
Sin notificación
Ante consulta de El Observador, la agencia de protección de datos aseguró el miércoles que todavía no había recibido notificación por parte del ministerio de Hacienda sobre el ataque.
Aseguraron que las entidades cuentan con cinco días hábiles para hacerlo.
La directora nacional Prodhab, Elizabeth Mora, respondió a través de un correo electrónico.
“De acuerdo al artículo 38 del Reglamento a la Ley N.° 8968, ante una vulnerabilidad de seguridad, el responsable de la base de datos deberá informar a la Prodhab y a cada titular afectado sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho”.
“Para ello, dispondrá de cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes. Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan”.
La ministra de Ciencia, Tecnología y Telecomunicaciones (Miccit), Paula Vega, indicó este jueves que la entidad tampoco ha notificado a la agencia sobre el ataque.
Encuentre toda la información del ataque cibernético al Gobierno AQUÍ.
