El pasado 6 de junio la Agencia de Acceso a la Información Pública (en adelante “La Agencia”), ente regulador de la Ley Nº 25.326 de Protección de Datos Personales, sancionó a Yahoo de Argentina S.R.L. (en adelante “Yahoo” o “La Empresa”) por un Data Breach o “Incidente de Seguridad” ocurrido en el año 2013, que afectó a casi 8 millones de argentinos (7.970.680).

Es totalmente novedoso que en Argentina el Ente Regulador aplique sus facultades sancionatorias específicamente en cuestiones de incidentes de seguridad de datos personales.

El expediente 2016-04629409#MJ fue iniciado de oficio por la ex Dirección Nacional de Protección de Datos Personales, luego de que la propia empresa difundiera la información 3 años después de ocurrido el hecho.

Yahoo informó en el expediente mencionado que los datos afectados fueron robados de un archivo de respaldo creado los días 10 y 11 de agosto de 2013. Sin embargo, no se pudo identificar la intrusión, el método de ataque ni la filtración utilizada. Nombres, direcciones de correo electrónico, números de teléfonos, fechas de nacimiento y contraseñas hash MD5 fueron los datos afectados por el incidente de seguridad.

Asimismo, la empresa informó que notificó a los usuarios potencialmente afectados por correo electrónico, realizó un comunicado de prensa, advirtió de la situación en su sitio web, remitió individualmente un comunicado a los usuarios afectados y requirió cambios de contraseña de todas las cuentas de usuarios, entre otros.

Luego de analizar las políticas de seguridad y políticas de seguridad física de Yahoo, el área técnica de la Agencia concluyó que:

a) Los archivos de respaldo vulnerados no tenían el correspondiente nivel de cifrado para evitar extracción de información no autorizada;

b) Las copias de seguridad no se encuentran cifradas por defecto;

c) La empresa no tiene certezas sobre la mecánica del incidente ni quienes estarían implicados.

Al momento de realizar su descargo, Yahoo manifestó que “los archivos de copia de seguridad eran archivos tar de Unix estándar que se habían comprimido como gzip” e hizo una descripción del proceso de respaldo generalmente utilizado para los archivos de copia de seguridad.

La Agencia consideró que, por tratarse de datos personales, el proceso de respaldo tendría que haberse realizado desde su creación. Asimismo, el término “generalmente” que utiliza la empresa para explicar sus formas de respaldo hace presumir que no siempre utiliza sus políticas de seguridad.

Se concluyó que Yahoo no adoptó las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, que permitan detectar desviaciones, intencionales o no, de información, en franca infracción a lo dispuesto en el Art. 9 de la Ley Nº 25.326.

La Agencia interpretó que se trataba de una infracción grave por incurrir en la infracción prevista en el punto 2 inc. k) del Anexo I de la Disposición 7/05 y modificatorias. Se le impuso a Yahoo una multa de $80.000.

En esta misma resolución se sancionó a Yahoo por no informar modificaciones o bajas ante el Registro Nacional de Bases de Datos.

Esta nueva postura de la Agencia no hace más que reafirmar la línea del nuevo Reglamento Europeo de Protección de Datos (GDPR), que prevé como pilar fundamental la cuestión del reporte del incidente de seguridad en materia de datos.

En consonancia con lo anterior, el Poder Ejecutivo envió al Congreso el proyecto de reforma de la Ley Nº 25.326, donde se regulan cuestiones relativas al Data Breach.

En su Art. 2 se define al incidente de seguridad de datos personales como el “hecho ocurrido en cualquier fase del tratamiento que implique la pérdida o destrucción no autorizada, el robo, extravío o copia no autorizada, el uso, acceso o tratamiento de datos no autorizado, o el daño, alteración o modificación no autorizada”

Asimismo, el art. 20 prevé que en casos como el descripto, el responsable del tratamiento deberá notificar a la autoridad de control en el plazo de 72 hs. También tendrá que informarle al titular de los datos sobre el incidente de seguridad.

La notificación debe contener, al menos, la siguiente información:

a) La naturaleza del incidente;

b) Los datos personales que pueden estimarse comprometidos;

c) Las acciones correctivas realizadas de forma inmediata;

d) Las recomendaciones al titular de los datos acerca de las medidas que éste puede adoptar para proteger sus intereses;

e) Los medios a disposición del titular de los datos para obtener mayor información al respecto.

Es más, el art. 79 establece que, entre otras cuestiones, la notificación oportuna de incidentes seguridad será merituado como atenuante a sanciones que puedan generarse por incumplimientos a la normativa.

Es dable destacar que tanto en el nuevo Reglamento Europeo como en el Proyecto de reforma de la Ley Nº 25.326, el valor de las multas incrementa notoriamente. Ya no se trata de montos insignificantes para las empresas. Bajo el GDPR, las infracciones pueden generar sanciones de hasta el 4% de las ganancias totales del grupo o hasta €20 millones.

Hoy en día, la legislación argentina no prevé medidas de seguridad obligatorias para el tratamiento y conservación de datos personales. Las disposiciones Nº 11/06 y 9/08 de la entonces Dirección Nacional de Protección de Datos Personales fueron derogadas por la Resolución Nº 47/2018 de la Agencia.

La Resolución vigente contiene dos anexos con medidas de seguridad recomendadas para el tratamiento y la conservación de datos personales. Es decir, el órgano de control da lineamientos de lo que podría ser una efectiva seguridad de datos en los términos del art. 9 de la Ley Nº 25.326 pero no se genera ningún tipo de obligación.

Esta responsabilidad proactiva que la Agencia propone también está en línea con el GDPR y el proyecto de reforma de la Ley de Protección de Datos Personales.

En síntesis, la sanción que la Agencia de Acceso a la Información Pública le impuso a la empresa Yahoo se puede tomar como un mensaje de toma de conciencia a las empresas. La seguridad de datos ya no debe entenderse como un gasto para la compañía sino como una verdadera inversión.

Dentro de la revolución digital que estamos viviendo, los datos juegan un papel fundamental y su seguridad debe ser un pilar básico de toda empresa. La debida prevención de este tipo de ataques informáticos será fundamental para evitar multas que a partir de las nuevas regulaciones pasan a ser muy costosas y pueden poner en jaque el debido funcionamiento del negocio.