“–¡Aló, buenas! Le informamos de que usted tiene un crédito preaprobado, si gusta puede seguir en línea para indicarle cómo puede proceder para obtener el dinero–”.
¿Ha recibido este tipo de llamadas? Y para hacer la situación más turbia, no tiene idea de como consiguieron sus datos personales porque usted no ha tenido ningún tipo de relación con la entidad que lo contactó.
Es un caso del mal manejo de la información personal.
Si bien es cierto que ahora la vida de cada persona es como la portada de un periódico debido a los perfiles de redes sociales y el uso de Internet, muchos de los datos que están almacenados en las diferentes bases comerciales fueron otorgados por uno mismo.
LEA: Ciberdelincuentes se alimentan de las redes sociales
¿Recuerda los tiquetes que llenó para participar en una rifa, o las aplicaciones que descargó y le autorizó todos los permisos de privacidad? Incluso los juegos que ha disfrutado pero que también autorizó para que le tomaran sus datos. Pues parte de estas filtraciones suceden desde medios que parecen inofensivos.
Las empresas que poseen estas informaciones deben asegurar a las personas que darán un uso adecuado a esos datos.
Como medidas preventivas existen protocolos de seguridad y contratos de confidencialidad que deben ser firmados tanto por los empleados que manejan las bases como los compradores que las van a adquirir.
La filtración de un audio de una de las clientes de Tigo es el más reciente ejemplo de lo que puede suceder cuando existe una filtración de datos sensibles.
La exposición de un audio ocasionó que “medio país” se enterara de muchos datos sensibles de esta clienta, los motivos de su enojo y reflejó una vulnerabilidad que tuvo Tigo con el manejo de sus bases de datos.
Entonces, ¿en manos de quién está la información sobre usted?
La Agencia de Protección de Datos de los Habitantes (Prodhab) tiene la función de velar por por el cumplimiento de la normativa en materia de protección de datos para las personas físicas, jurídicas privadas y entes públicos.
Así como de llevar un registro de las bases reguladas por la Ley 8.968 que hace referencia a la Protección de la Persona frente al Tratamiento de sus Datos Personales.
LEA: En tres años hubo 140 denuncias por violación de datos personales
El camino que siguen los datos
Hace 20 años, quizá las personas no tenían la costumbre de ir a una tienda, buscar un artículo y preguntar por su tiempo de garantía. Hoy se hace forma automática.
Actualmente falta malicia para cuestionar a quién le doy mis datos; por ejemplo, si se nos entrega un tiquete para participar en una rifa, hay que llenarlo con información personal, pero no tenemos la costumbre de preguntar ¿a dónde van a ir mis datos? O ¿para qué me solicita tanta información si es para un concurso?
Prodhab recomienda que siempre consulte por el tratamiento que le darán a sus datos.
El puerto de vulnerabilidad en muchas ocasiones, quien lo abre primero es el cliente mismo.
Situación similar sucede si lo llaman de los comercios para actualizar su información. Usted tiene el derecho de elegir el medio más seguro para hacerlo.
Cuando le soliciten datos de carácter personal es necesario que se le explique para qué le están pidiendo la información, quién podrá consultarla, en cuál base se almacenarán y cuál será el tratamiento que se le dará. Así lo estipula la Ley 8.968.
Brindar los datos personales “a ciegas” vía telefónica o por correo electrónico puede ser peligroso y abre una opción a los estafadores para realizar fraudes.
Así lo advierte el Organismo de Investigación Judicial (OIJ).
Un ejemplo representativo fue el que ocurrió en febrero del 2016 y que el OIJ utilizó para advertir a la población.
Un empleado de una empresa que se dedica a la venta de materiales para la construcción y que está establecida en Costa Rica, fue contactado por teléfono y mediante engaños le solicitaron las claves y cuentas bancarias. Esta llamada le costó a la compañía ¢130 millones.
Los hechos ocurrieron cuando el empleado recibió una llamada de un sujeto que se identificó como médico y le solicitó una cotización de materiales. Posteriormente, le dijo que le iba a realizar un depósito por ¢1.600.000, pero tenía problemas para realizar la transferencia.
La solución fue hacer una llamada en conferencia con un funcionario de una entidad bancaria para que este los guiara con la transacción. La llamada se hizo y el ofendido brindó todos los datos sensibles sin percatarse de que todo se trataba de una estafa.
Esta es una forma en la que las personas ventilan sus datos sin tener malicia ni darle importancia a su propia información.
Encienda alertas
Sin embargo, muchas empresas también le dan un mal uso a los datos de sus clientes.
Wendy Rivera, directora de Prodhab, explicó que una de las alertas para detectar que un usuario está ante un manejo irregular de sus datos es si intervienen personas ajenas a quienes se les dio la autorización para que hiciera uso de sus datos.
Por ejemplo, en caso de tener una deuda atrasada, la entidad llama a familiares incluso a amigos del deudor para dejar mensajes de “recordatorio” de pago.
“Nadie tiene por qué enterarse si yo tengo una deuda, es mi decisión contarlo o no”, dijo Rivera.
También la persona tiene el derecho de conocer cómo un negocio obtuvo la información personal en caso de que antes no existiera relación con ese comercio.
A través de la Prodhab, las personas pueden denunciar si hubo una irregularidad con su datos.
En el sitio web de la Agencia está el apartado Denuncias, donde se le puede solicitar a una empresa específica que le brinde al usuario los datos que tiene de él y el fin para el cual los usan.
“Yo no le puedo decir: aquí están sus datos personales, pero si usted quiere saber, entre las empresas que están reguladas, tiene todo el derecho de ir y preguntar si tienen información suya y de qué tipo”, añadió Rivera.
También existen formularios para solicitar la rectificación o la eliminación de los datos dentro de alguna base comercial.
El ciudadano puede elegir quién hace uso de sus datos, a excepción de las bases estatales (centros de salud, Tribunal Supremo de Elecciones y entidades policiales, entre otros).
Datos de la Agencia muestran que entre el 2014 y el 2017 se tramitaron 171 denuncias por casos como acoso telefónico, revelación de información personal a terceros sin consentimiento y solicitud de eliminación de datos personales en alguna base.
Bases empresariales
Las bases de datos que tienen que ser registradas ante la Prodhab son las que tengan una finalidad de comercialización.
Quienes no lo hagan se exponen a multas de entre 5 y 30 salarios base.
La lista de bases de datos que están debidamente registradas se pueden ver en la página web de la Agencia.
Entre el 2014 y lo que va del 2017 se han inscrito 88 bases.
Es necesario que las empresas se aseguren que están obteniendo una base de datos que está registrada. Así se pueden tener certeza de que la información cumple con los requisitos de actualidad, veracidad y exactitud.
Salatiel Hernández, encargado de tecnologías de la información de Prodhab, explicó que según la tipología de los datos, así serán los niveles de seguridad.
Sigilo
Los dueños de las bases se deben asegurar de que las estipulaciones emitidas por la agencia se cumplan al pie de la letra.
Un caso es el de Tyconet, firma que maneja entre su catálago el portal de Universidades.cr.
Esta base de datos está inscrita ante la Prodhab y asegura el resguardo de la información de quienes entran a los sitios administrados por la firma.
Carlos Chacón, encargado de la parte financiera y operacional de Tyconet, dijo que durante el proceso de resguardo de los datos todo su personal tuvo que firmar una política de privacidad por la información que manejan, y por parte de los usuarios, también se requiere que acepten la política de privacidad del sitio para que incluyan sus datos personales.
Lo mismo sucede cuando un cliente externo es quien solicita las bases de Tyconet.
“Hay todo un protocolo cuando un cliente recibe los datos, este tiene que firmar el compromiso de que le dará un uso adecuado a la información”, señaló Chacón.
Según la ley de protección de datos, son faltas gravísimas el recolectar, almacenar o transmitir datos sensibles, así como obtener información por medio de engaño, violencia o amenaza.
Revelar información registrada en una base en la cual haya secreto de resguardo y proporcionar a un tercero información falsa o distinta de la que está contenida en un archivo de datos, también forman parte de las acciones que pueden ser multadas.
Inscripción
Pasos para registar una base de datos ante la Prodhab.
1.Registro: Debe presentar el respectivo formulario de inscripción que se puede descargar desde la página web.
2.Solicitud: El propietario físico o jurídico deberá presentar la solicitud debidamente autenticada o confrontada la firma.
3.Responsables: Designar a un responsable de la base de datos personales ante la Agencia y ante terceros.
4.Señales: Indicar el nombre de la base y su ubicación física, así como especificar las finalidades y los usos previstos de los datos.
5.Recolección: Especificar los procedimientos de obtención de los datos y la descripción técnica de las medidas de seguridad.
Fuente Prodhab.