El pasado 25 de julio se publicó un documento con la información de 14 mil tarjetas de crédito de emisores nacionales y extranjeros, quedando en evidencia una vez más, lo expuestas que están algunas instituciones ante los ciberataques.

Considerando aquello y recordando que el 3 del mismo mes el Servicio Nacional del Consumidor inició el proceso para que miles de usuarios (salvo clientes de BancoEstado y beneficiarios IPS) se inscriban para recibir los $7.000 de la compensación por la colusión del papel higiénico, el Consejo para la Transparencia hizo una serie de recomendaciones al organismo a fin de proteger los datos de los ciudadanos.

La entidad liderada por Marcelo Drago emitió el informe 3906 dirigido al director nacional del Sernac, Lucas del Villar, en el que hacen presente ocho puntos relativos al "adecuado tratamiento de los datos personales de los consumidores que se inscriban en el sitio www.micompensación.cl", ya que consideran que el proceso puede ser perfeccionado.

Como explicó Drago a La Tercera, el documento se presentó considerando que "a raíz de este proceso de compensación se va a crear una base de datos muy reciente con información sensibles de millones de chilenos mayores de edad, convirtiéndose en una gran tentación para cualquier hacker. Por eso nosotros creemos que es importante remitir este oficio, para que se tomen las medidas de resguardo adecuadas".

"Se trata de reglas generales de regulación en protección de datos personales que deben aplicarse siempre cuando las empresas o instituciones recopilen información", detalla.

Las falencias que evidencia el presidente del Consejo hasta el momento, y que espera abordar junto al director del Sernac en la reunión que sostendrán durante la tarde de este miércoles, "es que si bien se menciona la protección de los datos personales, no hay mayor detalle sobre cómo se efectúa esa protección, los derechos que se le asignan a las personas sobre los datos entregados y las medidas de seguridad que están involucradas. Eso es importante que se detalle y se transparente en el sitio".

En cuanto a la ciberseguridad en general, Drago asegura que "es muy importante que cada uno tenga conciencia de autocuidado de los datos, pero es urgente una legislación que haga responsable a quienes reciben los datos de cumplir con los estándares y los derechos asociados. En ese sentido, de todas maneras el nombramiento de Jorge Atton como asesor presidencial en ciberseguridad va a facilitar priorizar esta materia".

Consultados sobre las recomendaciones realizadas por el Consejo, desde el Sernac fueron claros en sostener que cuentan "con políticas para el resguardo de los datos personales, así como la plataforma cuenta con estrictos mecanismos de seguridad".

Así, indicaron que hasta el momento el proceso "ha funcionado con normalidad" y que el sitio ya suma un total de 106 millones de visitas acumuladas desde su lanzamiento.

"Por lo tanto, estamos en línea con las recomendaciones que nos realiza el Consejo para la Transparencia, y explicaremos debidamente aquellos aspectos que no aplican al proceso", puntualizaron.

Las recomendaciones:

1- Los datos sólo sean utilizados con la finalidad para la cual fueron recolectados.

2- Una vez que la compensación sea realizada, el Sernac deberá eliminar los datos, por cuanto su almacenamiento "carecería de fundamento legal".

3- El titular de los datos puede ejercer los derechos de acceso, rectificación, cancelación y oposición. Por ello se recomienda entregar el contacto del responsable del banco de datos y la forma en que se pueden ejercer.

4- Informar las competencias específicas que autorizan al Sernac a efectuar el tratamiento de los datos.

5- Definir de manera simple la finalidad para la cual estos datos han sido recolectados, especificando tipos de tratamiento; informar si existe prohibición de transmitir o ceder estos datos sin consentimiento; individualizar el responsable del respectivo banco de datos y su información de contacto; señalar la forma mediante la cual los titulares pueden ejercer sus derechos; indicar las competencias específicas que autorizan al Sernac a efectuar el tratamiento de los datos.

6- Garantizar la seguridad de los datos recolectados, estableciendo deberes de confidencialidad. Sernac será el responsable legal del tratamiento de los datos.

7- En caso que los datos deban ser comunicados o transmitidos, se recomienda encriptarlos.

8- Sernac debe inscribir el banco de datos en el Registro Civil.