Ámbito
SEGURIDAD DE LA INFORMACIÓN
FECHA: 02/03/2022
NACIONAL
Datos de migrantes: una falla injustificable
Columna de opinión de Jessica Matus, experta en Derecho y Tecnologías
“El borrado de los registros de extranjeros desde 1993 a 2021 es un caso grave, y un relevante precedente sobre la seguridad y protección de los datos por parte del Estado”.
Una “falla” en el sistema B3000, referida a la base principal de datos de migraciones, fue conocida hace unos días. La “falla”, ocurrida en octubre de 2021, consistió en el borrado de los registros de extranjeros desde 1993 a 2021. La falta de respaldo de la información obligó a reconstruir dicha base, en parte, usando un registro paralelo, información de la PDI y el Poder Judicial, junto con documentos en papel de la Subsecretaría del Interior, argumentando que existía un “impedimento” para recuperar los archivos.
El caso es grave desde diversas perspectivas y un precedente relevante sobre la seguridad y protección de los datos por parte de un Estado. No es una simple “falla”. Se trata de un incidente de seguridad que ha afectado la integridad y disponibilidad de la información, y desconocemos si también la confidencialidad de los datos de migrantes. En resumen: Falta transparencia. Este incidente incidente podría, incluso, comprometer la seguridad nacional, según el Decreto Nº 1.094 de 1975 del Ministerio del Interior y la ley de datos, porque este sistema incluye, entre otros, los antecedentes penales de los extranjeros.
Se ha dicho que una de las más grandes bases de datos de Interior, sencillamente, desapareció. Pero lo cierto es que el centro de respaldo en casos de contingencia no parece haber funcionado, y qué hablar de la ejecución del plan de contingencia y el de continuidad. Sabemos que las bases de datos son frágiles; si existieran riesgos por vulnerabilidades, deberían levantarse sistemas de prevención alternativos (podría incluso tratarse de un sabotaje informático). Perder este tipo de información sin que haya intervención externa es extraño, según los profesionales y técnicos del área.
Además de la ciberseguridad, el impacto en materia de tratamiento de datos personales es crítico. Si el incidente los afectó, los titulares deberían tener derecho a ser notificados de una violación de estas características -tal como obliga el proyecto de ley de datos-. No ha sido posible determinar tampoco qué datos se perdieron definitivamente. Para saberlo, cada afectado tendría que solicitar acceso a su perfil e identificar la pérdida, caso a caso. Lo anterior puede importar una vulneración al principio de calidad de los datos (que sean correctos, exactos, completos y actualizados).
Ahora comienza a regir La Ley de Transformación Digital y modernizar el Estado a través de procesos de digitalización es un desafío de proporciones. Siendo así, los organismos públicos están obligados a mejorar sus prácticas de gestión de información, realizando todo aquello que logre razonablemente evitar la pérdida, pérdida o acceso no autorizado de datos personales. No hay justificación: la tecnología actual permite resguardar de manera adecuada la información.
Hay falencias, y por ahora desconocemos las categorías o tipos de datos almacenados en la B3000. Además, las jefaturas vinculadas al caso, en su mayoría, ya no prestan servicio, porque se les prestó la renuncia. Así, un procedimiento sumario para establecer la responsabilidad administrativa sólo concluirá sin poder hacerla efectiva.