Cinco días después de la revelación de una nueva filtración masiva de datos personales de vecinos de Miraflores, esta información continúa circulando en BreachForums, un foro en línea de intercambio de información prohibida y sensible. Nombres completos, números de DNI y de teléfono, correos e incluso datos de las viviendas del distrito están al alcance de cualquier persona con acceso a esta plataforma. En medio de ello, la municipalidad podría enfrentar una cuantiosa multa por presuntamente haber incumplido la ley de protección de datos personales.
Esta segunda filtración de información de vecinos miraflorinos en la gestión del alcalde Carlos Canales ya es investigada por la Autoridad Nacional de Protección de Datos (ANPD), organismo del Ministerio de Justicia (Minjus).
El artículo 17 de la ley de protección de datos personales señala que “el titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y sus antecedentes”.
Artículo 17 de la Ley 29733
En esa línea, la ley determina que una infracción grave es “incumplir la obligación de confidencialidad establecida en el artículo 17″. La ley de protección de datos personales sanciona las faltas graves con multas desde cinco a cincuenta Unidades Impositivas Tributarias (UITs). En consecuencia, conforme al valor actual de la UIT, la comuna miraflorina podría ser multada hasta con 257.500 soles.
Infracciones graves que determina la Ley 29733
El caso al detalle y la respuesta del Ministerio de Justicia
La publicación en el foro fue realizada el 28 de agosto. Su autor, cuyo nombre de usuario es ExKase20, indica que una “vulnerabilidad en el sistema de la Municipalidad de Miraflores” permite ver la información confidencial. Al respecto, el jueves pasado, el noticiero La Encerrona sostuvo que la comuna dejó expuestos los datos de sus vecinos en seis enlaces de acceso público.
Publicación en Brechforums por el usuario ExKase20.
Este caso no ha pasado desapercibido por la Autoridad Nacional de Protección de Datos (ANPD), el organismo del Ministerio de Justicia (Minjus) encargado de fiscalizar y promover la protección datos personales, así como de imponer sanciones si la situación lo amerita.
Olga Escudero, directora de la Dirección de Fiscalización e Instrucción de la ANPD, declaró a El Comercio que la entidad está recogiendo toda la evidencia disponible del caso. En esa línea, advirtió que la municipalidad habría incumplido la ley de protección de datos personales. “Se está haciendo un análisis legal del caso. Es clarísimo que hay una pérdida de confidencialidad de los datos de los contribuyentes. Esto podría configurar una infracción grave a la ley”, subrayó.
Alberto Cruces, abogado constitucionalista, declaró previamente a este Diario que la protección de datos personales constituye un derecho fundamental reconocido expresamente en nuestra Constitución: el derecho de autodeterminación informativa. Esto genera una obligación para todos aquellos que recopilan datos, como la Municipalidad de Miraflores, en este caso, por lo que deben asegurar la seguridad de los mismos.
“Cuando estos datos son recogidos en línea, existe una serie de obligaciones: se debe informar para qué se recogen, quiénes son los destinatarios, cómo se transfieren, entre otros requerimientos”, señaló.
MIRA TAMBIÉN: “Hoy lo único que nos une es que somos una sombra de lo que fuimos”: Ortiz Bisso y el vínculo entre Perú y Brasil que podría decidir el partido de este martes
Además, Escudero mencionó que, como parte de las funciones fiscalizadoras y sancionadoras de la ANPD, la entidad solo puede imponer multas, mas no solicitar ni ejecutar el cierre de una página web.
Experto en ciberseguridad advierte filtración de datos
Eduardo Quesquén, gerente de tecnología de Moventi, declaró a El Comercio que, de acuerdo a la información conocida hasta el momento, la reciente exposición de datos de vecinos de Miraflores no sería un hackeo. Declaró que se trata de una filtración de datos debido a la falta de herramientas correctas de ciberseguridad por parte del municipio. “No se han aplicado técnicas como el doble factor de autenticación ni seguridad perimetral para la protección de los datos personales”, manifestó.
“No es una filtración avanzada. Es un proceso que cualquier persona con conocimientos básicos en desarrollo de software pudiera haber hecho, porque la información era pública. Al parecer, los APIS de la página de la municipalidad [mecanismos que permiten a dos componentes de software comunicarse entre sí] no tenían medidas de protección adecuada”, detalló.
Erick Iriarte, abogado especialista en legislación informática, indicó que la municipalidad de Miraflores debe aclarar qué respuesta han dado a la ANPD sobre las brechas de seguridad de datos personales. Asimismo, señaló que la municipalidad debería publicar las auditorías de sistemas realizadas a su página web y a los sistemas de gestión de información de los vecinos
Además, recomendó a los vecinos de Miraflores a cambiar su contraseña vinculadas a las páginas y servicios web del municipio.
Municipalidad se habría negado a responder al Minjus
La Encerrona indicó que, tras comunicarse con la ANPD, la entidad contestó que la Municipalidad de Miraflores “habría obstruido el ejercicio de la función fiscalizadora” de la ANPD “al negarse a atender el requerimiento de información realizado”, así como “al negarse atender a los fiscalizadores cuando se apersonaron en sus instalaciones”.
Luego de la revelación de hace un año, la Autoridad de Protección de Datos Personales abrió un proceso de fiscalización.
— La Encerrona (@laencerronaperu) October 10, 2024
Lo grave: la Municipalidad de Miraflores se negó a responder sus pedidos de información y no atendió a los fiscalizadores que fueron de manera presencial. pic.twitter.com/Yf03ab4iaS
La Municipalidad de Miraflores responde a El Comercio
Lino de la Barrera, gerente de Asuntos Jurídicos de la Municipalidad de Miraflores, indicó que la exposición de datos personales de más de 82 mil vecinos del distrito se debió a un “intento de hackeo” ocurrido en agosto, no a una filtración de información.
“Nosotros tenemos los soportes informáticos necesarios y hacemos inversiones permanentes para mejorar la protección de datos personales que administramos. Lamentablemente, al igual que ocurre con otras instituciones públicas, vivimos presionados por hackers y personas que intentan capturar la información de los vecinos de Miraflores. El último caso al que usted hace mención es un intento de hackeo en el mes de agosto desde Canadá y Estados Unidos”, indicó. “Una filtración de información significaría que nosotros la hemos hecho pública. Nosotros no la hemos hecho pública. Lo que ha pasado es que han entrado y sacado la información”, subrayó.
Por otro lado, al solicitarle una respuesta a lo que informó La Encerrona sobre una presunta obstrucción a la función fiscalizadora de la ANPD de la filtración del 2023 y la existencia de seis enlaces de acceso público donde se encontraban los datos expuestos de los vecinos en este año, De la Barrera señaló que él no consume La Encerrona ni es de su interés ver lo que produce. “Si el medio está diciendo eso, será materia de la investigación que se realice”, respondió.
No obstante, aseveró que la municipalidad ha atendido “cada una de las visitas que han hecho los señores del Ministerio de Justicia”. “Este año se ha dado el procedimiento administrativo sancionador por el caso anterior. Hasta el 15 de octubre, estamos dentro del plazo para brindar nuestros descargos. Vamos a dar una respuesta apropiada”.
Por otra parte, acerca de las declaraciones de Olga Escudero de la ANPD sobre la advertencia de la “pérdida de confidencialidad de los datos de los contribuyentes” y una posible infracción grave por el caso de la última filtración de datos, De la Barrera mencionó que la comuna responderá al Minjus cuando este envíe un pedido formal solicitando su descargo. “No podemos adelantar una opinión en este momento”, indicó.
¿Cómo actuaría el Minjus ante las dos filtraciones de datos de Miraflores?
Esta es la segunda exposición de datos sensibles durante la gestión de Canales. En mayo del año pasado, información personal de miles de vecinos miraflorinos también estuvo al alcance de cualquier persona gracias a un link de la plataforma de trámites virtuales de la municipalidad.
Ernesto Cabral, periodista de La Encerrona, declaró entonces a este Diario que la comuna cuenta con una sección en su web que permite a los vecinos realizar trámites de manera virtual: desde pagar tributos hasta alquilar canchas deportivas.
Para ingresar y hacer estos trámites es necesario registrarse, colocar un correo y crearse una contraseña. Precisamente, la falla detectada permitía ver los datos registrados por todos los usuarios en esta plataforma digital a través de un hipervínculo y un código.
El 4 de mayo del 2023, la ANPD inició una investigación con relación a esta denuncia.
El MINJUSDH informa que la Autoridad Nacional de Protección de Datos Personales (ANPD) ha iniciado una investigación en relación a la denuncia sobre la presunta filtración y brecha de seguridad en la municipalidad de Miraflores que habría comprometido datos personales.
— Ministerio de Justicia y Derechos Humanos (@MinjusDH_Peru) May 4, 2023
Olga Escudero declaró a El Comercio que este año se ha iniciado con el proceso sancionador de la investigación mencionada, pues se halló que la municipalidad incurrió en faltas a principios y obligaciones de la ley de protección de datos personales. Por ejemplo, no se cumplió con el deber de confidencialidad ni con implementar medidas de seguridad para el tratamiento de los datos.
“La municipalidad tiene hasta el 15 de octubre para presentar sus descargos. Con ello terminaría la etapa de instrucción del procedimiento sancionador. Una vez brinden los descargos, toda la información recogida será elevada a la Dirección de Datos Personales de la ANPD para que luego emita una resolución que determine si corresponde o no una sanción a la municipalidad”, explicó.
Asimismo, Escudero indicó que una posible investigación sobre la última filtración de datos revelada “podría incorporarse al proceso iniciado el año pasado”.
