La seguridad de la información, una obligación para las aplicaciones móviles

Germán Realpe Delgado

Gerente de Cloud Seguro

 

¿Qué haría usted si solicita un domicilio en línea y, en vez de recibir el pedido, le llega la policía, diciendo que el celular desde donde lo solicitó es robado? Esto le pasó a Andrés Santamaría, quien utilizó la aplicación móvil domicilios.com, en el 2015, y por un error de esta, para la confirmación del pedido, envió los datos personales de Andrés al correo electrónico de un tercero, al cual le habían robado el celular. Por esa situación, pensó que estaban haciendo el pedido desde su celular y, en consecuencia, se desplazó a la dirección de Andrés junto con la policía para dar con el paradero del mismo. No obstante, todo era una confusión generada por un error tecnológico de la aplicación.

 

El caso parece extraño, pero le ocurrió a Santamaría, quien, en el 2015, nos contrató para la asesoría correspondiente, a raíz de la cual interpusimos distintos mecanismos legales y técnicos para la defensa de su privacidad.

 

Uno de ellos fue la presentación de una queja ante la Superintendencia de Industria y Comercio (SIC), la cual impuso una multa, en primera instancia, a la sociedad dueña del portal y aplicación domicilios.com. El fallo deja claro varios temas, entre ellos que la protección de datos personales va más allá de la expedición de unas políticas de tratamiento de datos, así como de un simple documento de términos y condiciones de uso de un sitio web.

 

En el fallo, la SIC resalta aspectos como la responsabilidad de las empresas en el tratamiento de datos, en donde los responsables y encargados de este deben identificar y determinar los riesgos asociados al que realizan dependiendo de la estructura organizacional, sus procesos y procedimientos internos asociados.

 

Allí queda claro cómo un mal manejo de datos puede generar una variedad de perjuicios económicos y reputacionales al titular. Además, señala cómo muchos aspectos técnicos y de seguridad de la información son necesarios en el ciclo de procesamiento del dato personal en aplicaciones o servicios en los que se produce tratamiento de estos.

 

Más que una política documentada

 

La privacidad no debe hacerse únicamente desde la perspectiva jurídica. Esta incluye aspectos técnicos, culturales, procedimientos, análisis de riesgos y de seguridad de la información. Si bien es cierto que la protección de datos nace del derecho fundamental de habeas data, hoy, y dentro del marco de la trasformación digital, ha evolucionado a lo que se conoce como privacidad y seguridad de la información.

 

Un ejemplo es el fallo contra domicilios.com, que demuestra cómo las empresas deben alinear su manejo de tecnologías de la información a la protección de datos. El ciclo de procesamiento del dato personal va más allá del establecimiento de unas políticas y requiere, entre otros aspectos, un desarrollo seguro, la configuración de software, logs, la infraestructura de las plataformas, procesos de incidentes y de migración del dato y la seguridad de la información como proceso técnico y de cultura organizacional.

En el fallo mencionado, la SIC analiza aspectos técnicos de la plataforma móvil, así como lo relacionado con la autorización del titular y el procedimiento de quejas y reclamos, frente a los cuales si bien domicilios.com pudo demostrar debida diligencia en varios aspectos, no lo pudo hacer en el envío de correos electrónicos para confirmar el pedido. 

 

Allí, la SIC señaló: “… respecto a los datos personales de 8 titulares, la sociedad no cumplió con el deber de conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, y aunque la sociedad se enteró de este acceso no autorizado por parte de terceros a través de quejas presentadas por los titulares señalados”. Así mismo, el fallo resalta cómo los titulares resultaron afectados por la divulgación de su información personal a causa de un error tecnológico en la aplicación. 

 

La Delegatura de Protección de Datos Personales deja claro cómo la aplicación expuso, sin ningún control, a través de mensajes de confirmación de pedido, datos personales tales como el nombre completo, dirección de residencia, teléfono de usuarios, al cruzarse los ID.

 

Una obligación para todos

 

Uno de los errores más frecuentes en las empresas es mirar la protección de datos personales aisladamente de la seguridad de la información. Las empresas deben entender que la aplicación de normas como la Ley 1581 del 2012 no solo contempla aspectos jurídicos. Hoy, las buenas prácticas de seguridad de la información aplican para todo tipo de empresas, sin importar su tamaño o el servicio o producto que ofrezcan.

 

La SIC ha recordado el concepto de incidente, referido a cualquier suceso en los sistemas de información que atente contra la seguridad de los datos personales almacenados en una base de datos.

 

Los incidentes que afecten bases de datos con información personal deben ser comunicados a la Delegatura de Protección de Datos, toda vez que constituyen la concreción de un riesgo en el tratamiento de datos o una violación a los códigos de seguridad.

Otro tipo de obligación legal con apoyo en la tecnología es conservar copia de la autorización del tratamiento de datos. En los días subsiguientes al caso, se solicitó al administrador y dueño de la aplicación copia de la autorización, de la cual nunca hubo respuesta.

 

En el diseño de una aplicación móvil o web que utilice datos personales debe aplicarse el concepto de privacidad por defecto, así como el de desarrollo seguro con metodologías como OWASP, que ofrece recomendaciones para el desarrollo de aplicaciones, servicios y software de forma segura.

 

Los riesgos relativos a la información personal se presentan constantemente en el manejo que de ella hacen las empresas. En el caso analizado, este se concretó en la migración y envío del correo de confirmación de un pedido. Las empresas deben mapear los riesgos en protección de datos y establecer medidas de seguridad técnicas adecuadas, con el fin de mitigarlos.

 

Así mismo, se recomienda realizar pruebas técnicas a las plataformas, páginas web, aplicaciones y servicios en la nube, para determinar la existencia de riesgos y establecer un plan de gestión o remediación adecuado, para el correcto manejo de las bases de datos de sus clientes y, así, evitar incidentes que terminen en multa.

 

Una prueba de ethical hacking o un “análisis de vulnerabilidades” sirve para complementar la identificación de riesgos a la privacidad de la información realizada por una empresa. El mundo ideal en privacidad es aquel en el cual se integren aspectos técnicos, jurídicos, organizacionales y relativos procesos de calidad en búsqueda de sistemas integrales de gestión de datos personales, lo que traduce las guías de responsabilidad demostrada de la SIC, basadas en el principio de accountability.

 

Una de las mayores conclusiones de las multas que ha interpuesto la SIC en datos personales es la falta de integración a nivel empresarial de temas de seguridad de la información con privacidad.

 

El reto de las empresas es buscar la aplicación conjunta de aspectos legales, técnicos y culturales en privacidad, tanto de forma preventiva como reactiva.