“Según el Centro de Respuestas a Incidentes Informáticos y de la Agencia de Regulación y Control de las Telecomunicaciones solo en junio de este año se reportaron 21.492 incidentes, lo que demuestra que no estamos frente a un caso aislado”. Juan Sebastián Salcedo, Economista, consultor en estrategia y transformación digital
Días atrás se conoció que la CNT sufrió un ataque informático conocido como ‘ransomware’. En este tipo de ataques, los ‘hackers’ encriptan archivos clave, lo que hace que la información se vuelva inaccesible para la víctima. Luego, usualmente los ‘hackers’ extorsionan a la víctima pidiendo un rescate para restaurar los archivos. El ciberataque afectó varios servicios de la CNT, entre ellos los procesos de atención en los centros integrados de servicio y los centros de interacción con los clientes. Un informe técnico que señaló que “la situación actual por la que atraviesa la Corporación Nacional de Telecomunicaciones CNT EP es crítica y seria” y que el ciberataque “es una consecuencia de la falta de estructura y procesos técnicos que deben indexarse y corregirse”.
Días después de lo ocurrido, la empresa pública adoptó varias medidas: la presentación una denuncia ante la Fiscalía por el presunto delito de ‘ataque a la integridad de sistemas informáticos’, declaración de estado de emergencia institucional, realización de una auditoría externa de las contrataciones y compras de la infraestructura tecnológica, creación de la Gerencia Nacional de Ciberseguridad y la modernización de sus equipos tecnológicos. Adicionalmente, la Ministra de Telecomunicaciones anunció el envío a la Asamblea Nacional un proyecto de ley para reformar el artículo 146 del Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación (Código Ingenios), el cual obliga a que los datos relacionados con seguridad nacional y sectores estratégicos se alojen únicamente en centros de cómputo en Ecuador. La reforma buscaría permitir que la información estatal pueda ser alojada en nubes internacionales de alta seguridad.
Lamentablemente, lo sucedido con la CNT no es un hecho aislado. Según el Centro de Respuestas a Incidentes Informáticos (EcuCERT) de la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) solo en junio de este año se reportaron 21.492 incidentes. Adicionalmente, de acuerdo a estadísticas de la Fiscalía, las denuncias de delitos informáticos van en aumento, superando las 10.000 por año. Precisamente, como se recordará, la filtración masiva de millones de datos personales de ciudadanos ecuatorianos en 2019, que estaban a cargo de la empresa Novaestrat, fue el detonante que finalmente motivó al gobierno de entonces a presentar un proyecto de Ley de Protección de Datos Personales.
A pesar de que el numeral 19 del artículo 66 de la Constitución de 2008 estableció como un derecho la protección de datos de carácter personal, Ecuador era uno de los pocos países a nivel mundial que no tenía una ley que norme el ejercicio de este derecho. Después de un largo proceso de análisis y discusión, la ley entró en vigencia el pasado 21 de mayo de 2021, introduciendo una serie de nuevos derechos y obligaciones en materia de protección de datos, así como una nueva institucionalidad a cargo de velar por su cumplimiento. La ley ha dado un periodo de dos años para que las empresas se adecuen a los preceptos establecidos previo a que entre en vigor la aplicación del régimen sancionatorio y medidas correctivas.
A continuación, algunos de los puntos más importantes que hay que conocer sobre la nueva ley:
- Se crea la Autoridad de Protección de Datos Personales, como órgano de control y vigilancia, con potestad sancionadora.
- Se constituye un nuevo régimen sancionatorio administrativo, estableciendo infracciones leves y graves, y multas correspondientes que van desde el 0,1% al 1% de volumen de negocios.
- Se instauran nuevos derechos a los titulares de datos como: acceso, rectificación y actualización, eliminación, oposición, portabilidad, suspensión de tratamiento, a no ser objeto de una decisión basada únicamente en valoraciones automatizada, entre otros.
- Se establecen principios que deberán imperar en el tratamiento de datos personales como juridicidad, lealtad y transparencia, legitimidad, finalidad, pertinencia y minimización de los datos personales, así como la proporcionalidad del tratamiento, consentimiento, confidencialidad, calidad, conservación y seguridad, entre otros.
- Uno de los principios fundamentales es el de responsabilidad proactiva y demostrada según el cual el responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos, para lo cual deberá adoptar altos estándares y mejores prácticas.
- Se crea la figura del Delegado de Protección de Datos, quien deberá ser una persona natural que tendrá la responsabilidad de informar y asesorar al responsable de los requisitos exigidos por la normativa, supervisar el correcto cumplimiento y cooperar con la Autoridad de Protección de Datos personales.
Frente a este escenario actual, en el cual los datos se han vuelto un elemento esencial para el desarrollo de negocios, ante lo cual personas y organizaciones estamos cada vez más expuestos a amenazas y sometidos a nuevos marcos legales, resulta imprescindible adoptar todas las medidas necesarias para adecuar cuanto antes la cultura y protocolos de seguridad y protección de datos.
