domingo, 13 de abril de 2014

Obligacion legal de solucionar Heartbleed

La ahora conocida falla "Heartbleed" sigue teniendo consecuencias desde el punto de vista de la seguridad de los sistemas de información, pero también podría traer consecuencias desde el punto de vista legal, en el caso de sistemas que incluyan de alguna forma el tratamiento de datos personales.

Brevemente (podrán encontrar miles de artículos técnicos con detalles sobre la falla), Heartbleed es un vulnerabilidad crítica que afecta a SSL, una de las librerías criptográficas más utilizadas para mantener la confidencialidad de la información en Internet. En la práctica, el hecho que dicho bug siga existiendo en un sistema, implica que un tercero podría estar accediendo a toda la información confidencial, a todo el contenido de las comunicaciones (incluyendo usuarios y contraseñas). 

Desde el punto de vista legal, el hecho que un responsable de una base de datos personales no haya "parcheado" (solucionado) este grave problema de seguridad en sus sistemas, implica en Argentina, un incumplimiento a la Ley de Protección de Datos Personales Nº 25.326, particularmente a las obligaciones de Seguridad del Art. 9 inc. 1, en la cuál se afirma que:
"El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado."
En relación a las obligaciones de seguridad, es un buen momento para recordar que los niveles de seguridad exigidos por la Dirección Nacional de Protección de Datos Personales (Autoridad de Aplicación de la Ley Nº 25.326), son detallados en la Disposición 11/2006. En dicha reglamentación, se distinguen tres niveles de medidas de seguridad que deberán ser aplicadas por el responsable titular de la  base de datos, de acuerdo al tipo de datos personales que son tratados.

El hecho que los sistemas donde se realiza el tratamiento de datos personales, tenga aún sin solucionar la brecha de seguridad de Heartbleed, implicaría que el titular no estaría garantizando la seguridad y confidencialidad de los datos personales, existiendo en consecuencia un incumplimiento legal del art. 9 inc. 1 Ley Nº 25.326, pasible de las sanciones administrativas previstas en el Capítulo VI de la citada normativa.

En otro orden de ideas, debe recordarse al responsable de una base de datos personales, que en el caso que en sus sistemas verifique el acceso no autorizado a través de la explotación de esta falla, dicho hecho podría ser denunciado penalmente, toda vez que (en principio) sería un caso tipificado penalmente en el art. 157 bis inc. 1:
Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que: 
1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; [...]

En conclusión, si como responsable de sistemas aún no estaba decidido a realizar las acciones pertinentes para reparar este bug, si por ejemplo las razones de seguridad informática no le parecieran de gravedad (que aseguramos que lo son), la idea de este artículo es reforzar esas razones informando que, en los casos donde exista tratamiento de datos personales, el hecho que la falla siga aún vigente, implica un incumplimiento legal por no garantizar la seguridad y confidencialidad de la información.

Nota publicada en Segu-Info:  http://blog.segu-info.com.ar/2014/04/no-solucionar-heartbleed-incumple-la.html

0 comentarios:

Publicar un comentario