Datos de UPAD se expusieron por falta de seguridad
El experto en ciberseguridad Esteban Jiménez declaró este jueves, ante la comisión legislativa que investiga el caso de la UPAD, que la falta de medidas de seguridad en el manejo de la Unidad Presidencial de Análisis de Datos (UPAD) provocó que la información se expusiera a peligros cibernéticos.
Jiménez cuestionó que Presidencia no siguiera los estándares internacionales para crear bases de datos de gran tamaño.
Según dijo, uno de los errores principales fue utilizar Tableau Public, un software de libre acceso no recomendado para almacenar bases de datos sensibles.
“Los moderadores técnicos de Tableau indican que para el uso de esta herramienta, cuando se trata de datos sensibles, se deben utilizar las licencias de Tableau Online o Tableau Server, porque estas le permiten al investigador tener muchísimas más herramientas para la protección de esta información”, indicó.
“Es claro que existe una posibilidad de que la información de los ciudadanos que pasó a través de estos sistemas haya podido ser desviada o haya caído e manos de otras personas”, explicó.
El experto agregó que Presidencia debió incluir a especialistas de alto nivel en la elaboración del proyecto.
“Entre los individuos (miembros de la UPAD) no se cuenta con un cuerpo de conocimiento dirigido hacia la elaboración de un estudio de este tipo, no se cuenta con un acompañamiento de un órgano académico o de algún profesional calificado”.
Además, aseguró Jiménez, las oficinas en las que trabajaron los funcionarios de la UPAD no eran adecuadas para una recopilación de este tipo, la cual se realizó en llaves maya y computadoras personales no registradas por Presidencia.
Jiménez aseveró que, administrativamente, también faltó fiscalización por parte de la Agencia de Protección de Datos de los Habitantes (Prodhab).
Faltas legales. El otro especialista que compareció este jueves, Mauricio París, abogado experto en protección de datos, dijo que la recopilación de datos realizada por la UPAD solo la podía permitir una ley, a pesar de que dicho requisito no esté detallado en la legislación de protección de datos.
“No se debe caer en la confusión de que, como la norma no dice, expresamente, que tenga que existir una ley que aplique esas excepciones, no sea necesario, y esto porque estamos hablando de derechos fundamentales; estamos hablando de un derecho fundamental como es la intimidad y la privacidad de los ciudadanos, que está desarrollada en el artículo 24 de la Constitución”, expuso el abogado.
FALLO
Según el experto, se debió incluir a especialistas de alto nivel en el proyecto
El especialista en derecho criticó que la Ley de Protección de Datos no especifique que el manejo de información privada de las personas es de reserva de ley, a pesar de que un texto inicial de la norma así lo especificaba.
Uno de los cuestionamientos de los diputados es la transferencia de datos del Sistema Único de Beneficiarios del Estado (Sinirube) a la UPAD, lo cual París calificó como ilegal, pues tal gestión no está facultada por la ley de creación de Sinirube.
“Sinirube es un recolector de información de otras instituciones, pero la norma no establece que Sinirube pueda compartir esa información (...). La única forma en la cual se podría hacer esa transferencia de datos sería en el supuesto en el cual se cumpla con el artículo 14 (de la ley de protección de datos), sería con la autorización del titular”, argumentaron los legisladores.