Resolución N° 36/023 .
VISTO: La vulneración de seguridad reportada por el Ministerio de Transporte y Obras Públicas (MTOP).
RESULTANDO: I. Que se presenta ante esta Unidad el MTOP a los efectos de informar que se constató en su Data Center un incidente de seguridad informático que originó una indisponibilidad en los servicios brindados desde el 17 de octubre hasta el 3 de noviembre de 2022.
II. Que agregan las actuaciones realizadas por la entidad y por el CertUY, otorgándose vista por esta Unidad para que se detallen aspectos adicionales relacionados con la vulneración de seguridad, la que fue evacuada en tiempo y forma. De conformidad con lo informado, respecto a los datos personales afectados, estos refieren a archivos y documentos existentes en las oficinas de la entidad, habiéndose adoptado medidas preventivas, y otras para minimizar el impacto.
III. Que, la vulneración de seguridad refirió a datos personales de distintos tipos, sin que surja claramente la determinación exacta de la cantidad de personas físicas o jurídicas afectadas, las que por otra parte a esta fecha no han sido notificadas.
IV. Que, en cuanto a las notificaciones realizadas, se centraron en los encargados de las distintas oficinas del Ministerio que fueron objeto de publicación de información como consecuencia del incidente de seguridad.
CONSIDERANDO: I. Que, la vulneración de seguridad fue comunicada a esta Unidad, dando cumplimiento a lo dispuesto en el artículo 38 de la Ley N° 19.670, de 15 de octubre de 2018, y normas reglamentarias.
II. Que deben tenerse en cuenta además los artículos 10 y 12 de la Ley N° 18.331, de 11 de agosto de 2008, este último en la redacción dada por el artículo 39 de la Ley N° 19.670.
III. Que, de conformidad con los artículos 4° literal k) y 12 de la Ley N° 18.331, el MTOP en su calidad de responsable deberá responder por la vulneración de datos sufrida.
IV. Que el MTOP tiene base de datos registrados ante esta Unidad, pero no surge la designación de delegado, pese a la obligación determinada por el artículo 40 de la Ley N° 19.670.
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
- Indicar al Ministerio de Transporte y Obras Públicas que deberá ajustar sus procedimientos a los efectos de dar cumplimiento a las normas en materia de protección de datos previstas en la Ley N° 18.331, de 11 de agosto de 2008, en particular en lo establecido en su artículo 10°.
- Intimar al Ministerio de Transporte y Obras Públicas la designación de delegado de protección de datos personales dentro del plazo de 30 días corridos, bajo apercibimiento de las sanciones que correspondan.
- Notifíquese y publíquese.
Firmado por: Felipe Rotondo
Consejo Ejecutivo
URCDP