Una fiscalización del Consejo para la Transparencia (CPLT) detectó la entrega masiva del número de identificación de los solicitantes de algún tipo de permiso o salvoconducto en Comisaría Virtual, tras limitarse la libertad de desplazamiento en tiempos de emergencia sanitaria por Covid-19.
“Esto a partir de la entrega del banco de datos que contenía esta información personal de los usuarios de la plataforma y que Carabineros remitió al CPLT en el marco del proceso de auditoría. La respuesta de la entidad policial a una solicitud del organismo –bajo la metodología de usuario simulado- permitió ‘acceder a los datos de comuna, Estado Final (Emitido/Permiso No Emitido), Fecha, ID, Nombre Empresa, Origen, Proceso ID (tipo de permiso), Rubro, RUN Personas Naturales, RUT Personas Jurídicas’», señala informe del CPLT que fue dado a conocer a través de un comunicado.
La presidenta de la entidad, Gloria de la Fuente, explicó que este tipo de situaciones permite mostrar que “el acceso a datos personales no sólo ocurre por hackeos, sino muchas veces por acciones o decisiones que favorecen la exposición de información personal, que en este caso involucran datos sensibles, como ocurre con información sobre hábitos como cuántas veces a la semana y en qué horarios voy al doctor o compro alimentos o medicamentos para mi familia”.
Agregó en este sentido «que el Estado o empresas manejen datos debe darse bajo reglas claras y tenemos que resguardar que esas reglas se cumplan. Esta normativa, de 1999, se hace cargo de establecer ciertos principios de recopilación de información y ciertas obligaciones como la inscripción de bases, por ejemplo”.
Base de datos sin inscripción
El proceso impulsado por el CPLT permitió además conocer sobre la tardía inscripción en el Registro Civil del banco de datos generado con la información de millones de personas, obligación establecida en la ley vigente de protección de datos personales. Desde el Consejo explicaron que, en el contexto del análisis de la situación de seguridad de los bancos de datos asociados a la Comisaría Virtual, pese a que dado que la ley vigente presenta falencias “sí establece que los organismos del Estado deben inscribir estas bases ante el Registro Civil e Identificación”, subrayó De la Fuente.
Para auditar que se diera cumplimiento a lo anterior, el equipo de fiscalizadores del Consejo realizó solicitudes de acceso a la información a este organismo y a Carabineros, logrando establecer que, al 30 de junio, la policía uniformada no había hecho el mencionado registrado. Durante el desarrollo del proceso de fiscalización, la entidad informó con fecha 11 de agosto que la inscripción se encontraba en proceso.
La fiscalización del Consejo involucró el análisis y caracterización del acceso, los contenidos y detalles del banco de datos generado a partir de los distintos tipos de autorizaciones entregadas por Carabineros vía Comisaría Virtual en este caso entre marzo y junio de este año. En dicho período se registraron 33.718.270 de solicitudes de permisos temporales individuales y salvoconductos individuales y de uso colectivo. Más de un 91% (30.832.437 registros) correspondientes a registros efectivamente emitidos.
Políticas de privacidad
Otra de las aristas auditadas en el marco del proceso impulsado por el Consejo, incluyó la revisión de las políticas de privacidad y términos y condiciones de uso y tratamiento de información personal. En el marco de la auditoría, se evidenció, a partir de información entregada por la institución uniformada, que Carabineros no habría tenido al 9 de julio de 2020 una política de privacidad disponible para informar a los usuarios la forma en que se trataría y resguardaría su información personal, puesto que comunicó que esta se encontraba en “actual desarrollo”. El enlace a éstas se habilitó cerca de un mes después.
Acorde al análisis del CPLT esta política de privacidad “presenta información general relacionada a la construcción de la plataforma” y contiene algunas “deficiencias”, como, por ejemplo, no contemplaría antecedentes sobre “posibles transferencias de datos, derechos de los titulares de los datos y tiempo de conservación de la información
Lea acá el nuevo texto con recomendaciones sobre protección de datos personales:
null
null
Con información de EnEstrado y el Consejo para la Transparencia