Guardianes de la Privacidad: Precisamos de una Ley de Protección de Datos Personales Actual y Autoridad de Control Independiente de Protección de Datos.

Desde hace semanas he considerado oportuno escribir sobre el tema que les presento, entiendo que es importante para toda la ciudadanía.

Probablemente será así. Deseo que les proporcione luz, curiosidad de saber a todos, a la población y a las Autoridades.

Seguro que para mí es muy liberador, el tema forma parte de unas de mis pasiones profesionales.

Este hecho no ha sido la primera situación que enciende mis alarmas, pero dado el estadio actual que estamos viviendo, los avances tecnológicos, todos los desarrollos de la Inteligencia Artificial, la Ciberseguridad, entre otras, se hace más que urgente poner el foco en el ámbito del Tratamiento de Datos de Carácter Personal, o Datos Personales en la República Dominicana.  

Cuando leí la noticia tuve un escalofrío, no porque no pensara que fuera posible, sino porque con ella se afianzaba más la urgencia que he detectado desde hace años.  

En nuestro país es necesario poner el foco en el tema de una manera constante, estudiada y efectiva.

Seguramente querido lector, querida lectora, se estarán preguntando ¿de qué noticia se trata? ¿cuál es el tema urgente que como país debemos afrontar?

Pues no me dilato ni un segundo más en entrar al centro del artículo.

En fecha 4 de octubre del 2023 la Dirección General de Migración comunicó la siguiente noticia “Migración confirma ciberataque y filtración de datos” la cual fue publicada en varios medios de comunicación de nuestro país.

En la misma noticia comenta: se le informó la situación, por parte de la Dirección General de Migración, al Centro Nacional de Ciberseguridad, (CSIRT-RD) entidad competente ante este tipo de acción relacionada con la ciberseguridad.

Para los que les interese saber o refrescar algunos conceptos, nombres de entidades que se utilizan en la noticia les comparto brevemente:

Cuáles son las funciones del CSIRT-RD, brinda servicios que tienen por objeto prestar asistencia orientada a la protección de procesos de infraestructura y seguridad para prevenir la ocurrencia o reducir el impacto de un incidente cibernético a través de la concientización, información y prevención.

Y que entendemos por seguridad: se considera como un estado de ausencia de peligros y de condiciones que puedan provocar daño físico, psicológico o material en los individuos y en la sociedad en general. Deriva de seguro, que la RAE (https://dle.rae.es/seguro) define como “Libre y exento de riesgo”.

Por tanto, la Ciberseguridad, es la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales.

Las organizaciones tienen la responsabilidad de proteger los datos para mantener la confianza del cliente y cumplir la normativa. Y que sería Seguridad Ciudadana, sería pues, una situación de tranquilidad pública y de libre ejercicio de los derechos individuales, cuya protección efectiva se encomienda a las fuerzas del orden público. Y por Seguridad Jurídica, sería la cualidad del ordenamiento jurídico que implica la certeza de sus normas y consiguientemente, la previsibilidad de su aplicación.

Qué se entiende por filtración de datos: una filtración de datos es un incidente de seguridad en que usuarios internos malintencionados o atacantes externos obtienen acceso no autorizado a datos confidenciales o información sensible.

Si esa filtración de datos ha tenido involucrados datos de carácter personal, se denomina brecha de seguridad, que es un incidente de seguridad que involucra datos de carácter personal.

No quiero marearles con tantos conceptos, pero son necesarios, lo prometo.

Ahora continuemos con qué se considera Dato de Carácter Personal, o Dato Personal, según la ley que se encuentra vigente en la República Dominicana, la Ley 172-13, resumiendo el título de esta, sobre Protección de Datos de Carácter Personal, se entiende que, un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Y, por Tratamiento de Datos, se entiende que son operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenamiento, almacenamiento, modificación, relación, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

Es decir, cualquier operación o conjunto de operaciones o procedimientos técnicos, automatizados o no, que dentro de una base de datos permiten recopilar, organizar, almacenar, elaborar, seleccionar, extraer, confrontar, compartir, comunicar, transmitir o cancelar datos de consumidores.

Constitucionalmente en la República Dominicana está establecido en los Artículos 44.2 y 70 respectivamente.

El primero reza sobre el Derecho a la intimidad y el honor personal y el segundo sobre el Derecho al Habeas Data.

¿Por qué es importante que entendamos todo lo anterior?

Porque como personas físicas cuyos datos son tratados por, empresas, entidades, instituciones públicas o privadas, de acuerdo con la Ley citada, somos acreedores de derechos y garantías y estas tienen por otra parte, ciertas obligaciones que cumplir, que son dados por la Constitución de la República, como por la Ley citada sobre Protección de Datos de Carácter Personal.

La declaración a la prensa mediante el comunicado de la Dirección General de Migración especifica que, en el ciberataque, se han filtrado datos por los ciberatacantes, datos personales que pueden incluir nombres, direcciones y fechas de nacimiento.

Pero hay algo que no me queda claro, si sólo fue un incidente de seguridad, y los datos estaban cifrados, por qué declaran que se vieron afectados datos personales, por qué dicen “exposición no autorizada de datos”.

Como vimos antes en los conceptos, cuando se ven afectados los Datos de Carácter Personal, no se considera solo un incidente de seguridad, sino una brecha de seguridad.   

Y, por otro lado, si los datos estaban cifrados, en principio, los ciberdelincuentes no han tenido acceso a la información. Digo en principio, porque la absoluta seguridad no existe. Por lo menos, mitiga la posibilidad de acceso real a la información, ya que los ciberatacantes tendrían que descifrar la información para acceder al texto plano, aplicando programas y sistemas especializados, que quizás no cuentan.  Pero ese detalle ¡si es una gran interrogante!

Qué podría pasar si realmente esos terceros no autorizados han accedido a los datos de la Dirección General de Migración, por mencionar algunos, tendríamos usurpación de identidad, compraventa en el mercado del cibercrimen, estafas, etc.

Me surgen muchas preguntas:

¿Se ha iniciado alguna acción por parte del Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT)?, si hay alguna afectación de derechos ¿los derechos de las personas afectadas han sido ejercidos?

Pero ante cuál entidad podrían ejercer sus derechos. ¿Ante la Dirección General de Migración? ¿Ante los Tribunales de la República? ¿Cuál sería el papel del Defensor del Pueblo en este caso? Recordemos que hablamos de derechos fundamentales en juego. O ¿Proconsumidor tendría algún papel aquí?

En la República Dominicana hasta el momento no contamos con Autoridad de Control de Protección de Datos Personales. Está estipulada en la cita Ley, pero no se ha creado por razones varias, pero la fundamental, porque la Ley actual no es realmente una norma adecuada y efectiva para garantizar y regular el tratamiento de Datos Personales en sentido concreto, específico, y transversal por el sector Privado y Público.

Soy puertoplateña, abogada egresada de la Universidad Nacional Pedro Henríquez Ureña (UNPHU) en el 1999, con ejercicio en varias áreas del Derecho y hace más de 13 años abogada en España y con especialidad y práctica en Derecho en las Nuevas Tecnologías, Sociedad de la Información, Protección de Datos, Propiedad Intelectual. Entre mis propósitos de vida y profesional esta la de Socializar una cultura de Protección de Datos Personales, globalmente y en especial en mi hermosa Quisqueya.  

Desde el 2016 vengo socializando y haciendo saber, tanto a través de paneles internacionales como nacionales en los que he tenido el honor de formar parte, como por artículos, y opiniones profesionales, la necesidad y el carácter prioritario que tiene la actualización, modificación, creación de una norma que regule el tratamiento de datos personales en la República Dominicana, de una manera efectiva y acorde con los tiempos que corren.

Tal y como comenté al principio, vamos avanzando en otras áreas de una manera vertiginosa y es ¡excelente! para el país, tales como: Transformación Digital, Ciberseguridad, Inteligencia Artificial, Agenda Digital 2030, Gobierno Digital, Servicios Financieros Digitales, Educación y Trabajo Remoto, Plataformas de Salud, Historias Clínicas Digitales, Laboratorio de IA del Tribunal Constitucional, muy necesarias e importantes, entre otras.

¿Cuál es el factor común de todo esto? Datos, Datos Personales.

Entonces, cómo vamos a lograr que el ecosistema funcione fluidamente y garantizar que todo lo demás se maneje con las garantías necesarias sobre Derechos y Libertades de las personas, usuarios, consumidores  sobre sus Datos de Carácter Personal,  como un Derecho Fundamental que es, si no contamos con una norma positiva acorde a nuestros tiempos y a nuestros vecinos en Latinoamérica, como en otros países que ya tienen más tradición en el desarrollo, aplicación y gestión de Leyes dentro de la materia como serían, España y en su conjunto la Unión Europea.

Tomemos las riendas en este tema.  

Centremos nuestra atención en la redacción, desarrollo, aplicación de una Ley que responsada ante la realidad y desafíos en los que nos encontramos, y aunemos esfuerzos para concientizar a la sociedad, a todos los sectores que responden a la calidad de Responsables o Encargados de Tratamientos de Datos, como a los titulares de esos datos, que somos las personas físicas, sobre nuestros derechos y libertades.

Sigamos por el camino al respeto de la Constitución, Tratados y Convenios de Derechos Humanos de los que formamos parte. Continuemos siendo parte del cambio hacia una República Dominicana, en la vanguardia, unida hacia el avance tecnológico y de Derechos.