Resumen: La socialización, cultura y formación en el ámbito de la Protección de Datos Personales es un punto esencial desde siempre, pero actualmente es urgente.
A todos los jugadores nos interesa involucrarnos para que República Dominicana cuente con la normativa necesaria y la autoridad de control independiente dentro de dicho ámbito. Tanto a las personas físicas como a las empresas y entidades del sector privado y público les favorece darle prioridad a este tema en cohesión con la seguridad de la información y la ciberseguridad, si como país deseamos mantener, crecer y seguir desarrollándonos en nuestra región y a nivel internacional como un país interesante para invertir y crear lazos de alianzas por ser un lugar donde se garantizan derechos y libertades, así como también, un país con tecnología punta y recursos humanos preparados y formados.
Continuemos por el camino al respeto de la Constitución, Tratados y Convenios de Derechos Humanos de los que formamos parte. Continuemos siendo parte del cambio hacia una República Dominicana, en la vanguardia, unida hacia el avance tecnológico y de Derechos.
Palabras claves: Derecho Fundamental, Protección de Datos Personales, Seguridad de la Información, Ciberseguridad, Privacidad, Incidentes de Seguridad.
__________________________________________________________
Desde hace semanas he considerado oportuno escribir sobre el tema que les presento, entiendo que es importante para toda la ciudadanía. Y sumando que el 28 de enero se celebró el día Internacional de la Protección de Datos ¡qué mejor momento que este!
Con estas líneas, deseo que les proporcione luz, curiosidad de saber a todos, a la población y a las Autoridades.
Mientras escribo estas líneas, medito la importancia del tema, el cual forma parte de unas de mis pasiones profesionales.
Este hecho no ha sido la primera situación que enciende mis alarmas, pero dado el estadio actual que estamos viviendo, los avances tecnológicos, todos los desarrollos de la Inteligencia Artificial, la Ciberseguridad, entre otras, se hace más que urgente poner el foco en el ámbito del Tratamiento de Datos de Carácter Personal, o Datos Personales en la República Dominicana.
Cuando leí la noticia tuve un escalofrío, no porque no pensara que fuera posible, sino porque con ella se afianzaba más la urgencia que he detectado desde hace años: que en nuestro país es necesario poner el foco en el tema de una manera constante, estudiada y efectiva.
Seguramente querido lector, querida lectora, se estarán preguntando ¿De qué noticia se trata? ¿Cuál es el tema urgente que como país debemos afrontar?
Pues no me dilato ni un segundo más en entrar al centro del artículo.
En fecha 4 de octubre del 2023 la Dirección General de Migración comunicó la siguiente noticia “Migración confirma ciberataque y filtración de datos”[1] la cual fue publicada en varios medios de comunicación de nuestro país.
En la misma noticia se comenta: “se le informó la situación, por parte de la Dirección General de Migración, al Centro Nacional de Ciberseguridad, (CSIRT-RD) entidad competente ante este tipo de acción relacionada con la ciberseguridad”.
Para los que les interese saber o refrescar algunos conceptos, nombres de entidades que se utilizan en la noticia, les comparto brevemente:
Cuáles son las funciones del CSIRT-RD[2], brinda servicios que tienen por objeto prestar asistencia orientada a la protección de procesos de infraestructura y seguridad para prevenir la ocurrencia o reducir el impacto de un incidente cibernético a través de la concientización, información y prevención.
¿Y qué entendemos por seguridad? se considera como un estado de ausencia de peligros y de condiciones que puedan provocar daño físico, psicológico o material en los individuos y en la sociedad en general. Deriva de seguro, que la RAE[3] define como “Libre y exento de riesgo”.
Por tanto, la Ciberseguridad[4], es la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales.
Las organizaciones tienen la responsabilidad de proteger los datos para mantener la confianza del cliente y cumplir la normativa. ¿Y qué sería Seguridad Ciudadana?, sería pues, una situación de tranquilidad pública y de libre ejercicio de los derechos individuales, cuya protección efectiva se encomienda a las fuerzas del orden público. ¿Y por Seguridad Jurídica?, sería la cualidad del ordenamiento jurídico que implica la certeza de sus normas y consiguientemente, la previsibilidad de su aplicación.
¿Qué se entiende por filtración de datos? una filtración de datos es un incidente de seguridad en que usuarios internos malintencionados o atacantes externos obtienen acceso no autorizado a datos confidenciales o información sensible.
Si esa filtración de datos ha tenido involucrados datos de carácter personal, se denomina brecha de seguridad[5], que es un incidente de seguridad que involucra datos de carácter personal.
No quiero marearles con tantos conceptos, pero son necesarios, lo prometo.
Ahora continuemos con qué se considera Dato de Carácter Personal, o Dato Personal, según la ley que se encuentra vigente en la República Dominicana, la Ley 172-13[6], resumiendo el título de esta, sobre Protección de Datos de Carácter Personal, se entiende que, un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Y, por Tratamiento de Datos, se entiende que son operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenamiento, almacenamiento, modificación, relación, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
Es decir, cualquier operación o conjunto de operaciones o procedimientos técnicos, automatizados o no, que dentro de una base de datos permiten recopilar, organizar, almacenar, elaborar, seleccionar, extraer, confrontar, compartir, comunicar, transmitir o cancelar datos de consumidores.
Constitucionalmente en la República Dominicana está establecido en los Artículos 44.2 y 70 respectivamente; el primero reza sobre el Derecho a la intimidad y el honor personal y el segundo, sobre el Derecho al Habeas Data.
¿Por qué es importante que entendamos todo lo anterior?
Porque como personas físicas cuyos datos son tratados por empresas, entidades, e instituciones públicas o privadas, de acuerdo con la Ley citada, somos acreedores de derechos y garantías, y estas tienen por otra parte, ciertas obligaciones que cumplir, que son dados por la Constitución de la República, como por la Ley citada sobre Protección de Datos de Carácter Personal.
La declaración a la prensa mediante el comunicado de la Dirección General de Migración especifica que, en el ciberataque, se han filtrado datos por los ciberatacantes, datos personales que pueden incluir nombres, direcciones y fechas de nacimiento.
Pero hay algo que no me queda claro, si sólo fue un incidente de seguridad, y los datos estaban cifrados, por qué declaran que se vieron afectados datos personales, por qué dicen “exposición no autorizada de datos”.
Como vimos antes en los conceptos, cuando se ven afectados los Datos de Carácter Personal, no se considera solo un incidente de seguridad, sino una brecha de seguridad.
Y, por otro lado, si los datos estaban cifrados, en principio, los ciberdelincuentes no han tenido acceso a la información. Digo en principio, porque la absoluta seguridad no existe.
Por lo menos, mitiga la posibilidad de acceso real a la información, ya que los ciberatacantes tendrían que descifrar la información para acceder al texto plano, aplicando programas y sistemas especializados, que quizás no cuentan. Pero ese detalle ¡si es una gran interrogante!
Qué podría pasar si realmente esos terceros no autorizados han accedido a los datos de la Dirección General de Migración, por mencionar algunos, tendríamos usurpación de identidad, compraventa en el mercado del cibercrimen, estafas, etc.
Me surgen muchas preguntas:
¿Se ha iniciado alguna acción por parte del Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT)? si hay alguna afectación de derechos ¿Los derechos de las personas afectadas han sido ejercidos?
Pero ante cuál entidad podrían ejercer sus derechos. ¿Ante la Dirección General de Migración? ¿Ante los Tribunales de la República? ¿Cuál sería el papel del Defensor del Pueblo en este caso? Recordemos que hablamos de derechos fundamentales en juego. O ¿Proconsumidor tendría algún papel aquí?
En la República Dominicana hasta el momento no contamos con Autoridad de Control de Protección de Datos Personales. Está estipulada en la cita Ley, pero no se ha creado por razones varias, pero la fundamental, porque la Ley actual no es realmente una norma adecuada y efectiva para garantizar y regular el tratamiento de Datos Personales en sentido concreto, específico, y transversal por el sector Privado y Público.
Soy puertoplateña, abogada egresada de la Universidad Nacional Pedro Henríquez Ureña (UNPHU) en el 1999, con ejercicio en varias áreas del Derecho y hace más de 13 años abogada en España y con especialidad y práctica en Derecho en las Nuevas Tecnologías, Sociedad de la Información, Protección de Datos, Propiedad Intelectual. Entre mis propósitos profesionales está la de Socializar una cultura de Protección de Datos Personales, globalmente y en especial en la hermosa Quisqueya.
Desde el 2016 vengo socializando y haciendo saber, tanto a través de paneles internacionales como nacionales en los que he tenido el honor de formar parte, como por artículos, y opiniones profesionales, la necesidad y el carácter prioritario que tiene la actualización, modificación, creación de una norma que regule el tratamiento de datos personales en la República Dominicana, de una manera efectiva y acorde con los tiempos que corren.
Tal y como comenté al principio, vamos avanzando en otras áreas de una manera vertiginosa y es ¡excelente! para el país, tales como: Transformación Digital, Ciberseguridad, Inteligencia Artificial, Agenda Digital 2030, Gobierno Digital, Servicios Financieros Digitales, Educación y Trabajo Remoto, Plataformas de Salud, Historias Clínicas Digitales, Laboratorio de IA del Tribunal Constitucional, muy necesarias e importantes, entre otras.
¿Cuál es el factor común de todo esto? Datos, Datos Personales.
Entonces, cómo vamos a lograr que el ecosistema funcione fluidamente y garantizar que todo lo demás se maneje con las garantías necesarias sobre Derechos y Libertades de las personas, usuarios, consumidores sobre sus Datos de Carácter Personal, como un Derecho Fundamental que es, si no contamos con una norma positiva acorde a nuestros tiempos y a nuestros vecinos en Latinoamérica, como en otros países que ya tienen más tradición en el desarrollo, aplicación y gestión de Leyes dentro de la materia como serían, España y en su conjunto la Unión Europea.
Tomemos las riendas en este tema.
Centremos nuestra atención en la redacción, desarrollo, aplicación de una Ley que responsada ante la realidad y desafíos en los que nos encontramos, y aunemos esfuerzos para concientizar a la sociedad, a todos los sectores que responden a la calidad de Responsables o Encargados de Tratamientos de Datos, como a los titulares de esos datos, que somos las personas físicas, sobre nuestros derechos y libertades.
Sigamos por el camino al respeto de la Constitución, Tratados y Convenios de Derechos Humanos de los que formamos parte. Continuemos siendo parte del cambio hacia una República Dominicana, en la vanguardia, unida hacia el avance tecnológico y de Derechos.
Mabel Paola Cueto De La Cruz.
Dominicana, Puertoplateña, egresada de la Universidad Nacional Pedro Henríquez Ureña (UNPHU) en el 1999, Cum Laude. Conferencista nacional e internacional, con especialidad y máster en Propiedad Intelectual, Sociedad de la Información, Propiedad Intelectual, Derecho de la Competencia y Nuevas Tecnologías por Universidades españolas. Abogada en Rep. Dominicana y España.
Desde septiembre del 2011 ejerce su actividad profesional a través de su marca de servicios legales IP-Privacy, Legal Advisers | Boutique Legal, o por sus siglas IPR Legal Advisers | Boutique Legal.
__________________________________________________________
Recuerda seguirnos por Twitter por el usuario @datalawrd15 y por las demás redes sociales a través del usuario @datalawrd para ver más sobre nuestro contenido.
Fuentes:
[1] https://www.diariolibre.com/actualidad/nacional/2023/10/04/migracion-sufre-ciberataque-y-filtracion-de-datos/2481453
[2] https://cncs.gob.do/csirt-rd/
[4] https://www.cisco.com/c/es_mx/products/security/what-is-cybersecurity.html
[5] https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-datos-personales-notificacion
[6] https://presidencia.gob.do/sites/default/files/statics/transparencia/marco-legal/leyes/Ley-172-13.pdf
Excelente artículo en todo lo relacionado a necesidad de cumplir con el derecho fundamental que se vulnera , como lo es la Protección de Datos. El enfoque nos alerta como nación a no dormirnos sobre esta situaciones de vulnerabilidad a datos sensibles y de entidades que deben garantizar la seguridad ante estos hechos.
Excelente narrativa utiliza la autora que permite a cualquier ciudadano sin ser abogado o especialista en protección de datos , entender todo lo planteado.
Ojalà las instituciones relacionadas puedan leer el mismo y se den los pasos necesarios para cuidar cada vez más el respeto a la Protección de datos!
Muchas gracias. Aprecio mucho el comentario y sus impresiones. Uno de los grandes objetivos de este artículo es eso, que se entienda, aun quien lo lea no pertenezca al sector legal o técnico. Pero que como ciudadanos y ciudadanas, nos y les compete estar al tanto de todo esto.
Espero que su deseo se haga realidad, y llegue a las instituciones de nuestro países que puedan accionar al respecto.
Un saludo,
Mabel
Muy agradecido por tu articulo ya que es muy aclaratorio para personas que no somos entendidos en la materia pero que nos interesa conocer sobre el tratamiento que de nuestros datos personales al ser cedidos a alguna empresa o entidad o que nosotros como profesionales podemos tratar datos de terceros.
También me encanta tu iniciativa para extender el avance de las Normativas de Protección de Datos en España y en la UE, sobre todo en República Dominiana, tu querido país de origen y en otros lugares de Latinoamerica
Muchas gracias Óscar.
Si, tengo la suerte de haber estudiado la especialidad en España, países que ya lleva muchos años desarrollando y aplicando este Derecho Fundamental.
El tener la capacitación intelectual y la práctica en el ejercicio de la profesión en España dentro de este ámbito, durante más de 13 años, me ha aportado mucho, y me permite ver con otros cristales las diversas posibilidades, y la necesidad de que en mi hermosa Quisqueya nos decidamos con firmeza y constancia al desarrollo y aplicación de la protección de datos personales.
Que tenga buen resto de la tarde.
Saludos,
Mabel
Excelente artículo sobre la protección de datos de carácter personal y el tratamiento que se da en RD, además de la necesidad de modificación de la ley actual, la cual no cumple con el contenido efectivo, así como, protección eficaz tanto en el ámbito privado como público.
Al leer este artículo confirmo que en mi país nuestros datos son manejados a la voluntad de los administradores, realmente los parámetros de seguridad requeridos son insuficientes para garantizar el derecho al tratamiento adecuado de nuestros datos. No es posible que mi información personal pueda ser saqueada de las instituciones públicas obligadas a concertarlas y comercializar esos datos en la red. Incluso, estoy podría explicar el porqué nos contactan empresas de publicidad o hasta estafadores de otros países. Pero ahora bien, de que se trata la inercia para tener un instrumento legislativo que proporcione las respuestas al problema actual, de los flamantes congresistas… o tal vez que no han sido afectados los datos de la clase política del país. En fin, me agradó la lectura, este tema es poco socorrido y no se hace mucho ahínco en divulgar este tipo de información, para que la gente entienda que también se trafica con datos personales y que esto mueve mucho dinero en el mundo criminal; y que, si no se protegen nuestros datos con una legislación vanguardista, cualquier persona podría hasta usurpar nuestra identidad, y hasta peor.
Gracias por tan interesante lectura!
Excelente artículo sobre la protección de datos de carácter personal y el tratamiento que se da en RD, además de la necesidad de modificación de la ley actual, la cual no cumple con el contenido efectivo, así como, protección eficaz tanto en el ámbito privado como público.
Excelente artículo sobre la protección de datos de carácter personal y el tratamiento que se da en RD, además de la necesidad de modificación de la ley actual, la cual no cumple con el contenido efectivo, así como, protección eficaz tanto en el ámbito privado como público.