Resolución N° 59/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 8 de diciembre de 2020
VISTO: La denuncia contra UES S.A. (en adelante UES) por presunta vulneración de seguridad.
RESULTANDO: I. Que con fecha 24 de julio de 2019, se realiza un Acta de recepción de datos en la cual se hace entrega de un informe de vulneración de datos de la empresa UES y se informa al denunciante que deberá eliminar el contenido de la base de datos obtenida en el proceso de detección de vulnerabilidades.
II. Que con fecha 25 de julio, se presenta la empresa UES a los efectos de informar una detección de vulnerabilidades de seguridad de sus sistemas. Expresan que la información cargada en el sitio web está disponible para clientes quienes requieren de usuario y contraseña para su visualización, y no tratan datos sensibles sino datos que no requieren del consentimiento de los titulares. Agregan que le solicitaron en forma reiterada al denunciante que eliminara la información e indican las medidas técnicas adoptadas.
III. Que el 19 de noviembre de 2019, se da vista a UES para que indique las medidas sugeridas en función de los consultores contratados y se presenta el 27 de noviembre detallando lo solicitado.
IV. Que el 23 de abril de 2020, se retoman las actuaciones indicando que obtenida la información de las medidas adoptadas por la empresa denunciada con respecto a la vulneración de seguridad en los datos, y de conformidad con lo dispuesto por el artículo 38 de la Ley N° 19.670, se remitió el informe correspondiente para su valoración por parte de Cert-uy. Se agrega que si bien no se generó una comunicación de información personal con excepción de la realizada al denunciante que la detectó, sí pudo existir la potencialidad de una comunicación masiva -que cuya efectivizarían no se ha constatado- debido a las deficiencias de dicho sistema. Se informa que el hecho que el denunciante haya obtenido la información revela la existencia en definitiva de una comunicación ilegítima en los términos del artículo 17 de la Ley N° 18.331 que deberá ser considerada oportunamente por el Consejo Ejecutivo. También se señala que resulta además un claro incumplimiento de la Ley el hecho de no contar con bases de datos inscriptas al momento de la denuncia, y el hecho de que no se vislumbra el cumplimiento del artículo 13 de la citada norma.
V. Que se realizó inspección con fecha 29 de mayo de 2020, momento en el cual se adjunta al acta copia simple del informe de la consultoría de seguridad realizada a la empresa. Del acta de inspección se procede a dar vista a la empresa UES.
VI. Que con fecha 4 de junio de 2020, se presenta UES a indicar que tomó conocimiento de la publicación de información de la empresa en un sitio web a nombre del denunciante y agrega que se desarrollaron una serie de medidas para evitar más vulneraciones de seguridad. Manifiestan además que tienen sus bases de datos inscritas desde el año 2013 y solicitan el archivo de estas actuaciones.
CONSIDERANDO: I. Que el artículo 10 de la Ley N° 18.331, de 11 de agosto de 2008, establece el principio de seguridad, que indica que el responsable debe adoptar las medidas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales con el objetivo de evitar la adulteración, pérdida o consulta no autorizada, así como detectar desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
II. Que, por su parte, el artículo 38 de la Ley N° 19.670, de 25 de octubre de 2019, establece que cuando el responsable o encargado de una base de datos o de tratamiento, tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar inmediata y pormenorizadamente de ello y de las medidas que adopte, a los titulares de los datos y a la Unidad Reguladora y de Control de Datos Personales, la que coordinará el curso de acción que corresponda, con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy).
III. Que el artículo 3° del Decreto N° 64/020, de 21 de febrero de 2020, indica que constatada la existencia de incidentes de seguridad que ocasionen, entre otras, la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos, deben iniciar los procedimientos necesarios para minimizar el impacto de dichos incidentes dentro de las primeas 24 horas de constatadas. El artículo 4° del decreto establece que una vez que se constate la ocurrencia de una vulneración de seguridad que incide en la protección de datos debe comunicarlo a la Unidad en un plazo máximo de 72 horas, entre otras medidas.
IV. Que en la presente denuncia surge reconocida la existencia de una vulneración de seguridad de la base de datos de la denunciada, impactando en lo establecido en los artículos 10 y 17 de la Ley, por existir además una comunicación de datos fuera de los parámetros establecidos en este último.
V. Que recientemente el Consejo Ejecutivo de esta Unidad mediante Resolución 5/020, en un caso similar, establece: “Que el principio de seguridad de los datos establece que los responsables deben adoptar medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales (Artículo 10 de la ley citada). A través del sistema empleado se vulnera el principio, por lo que deberán hacerse los ajustes necesarios para evitar que en el futuro se pueda obtener por terceros datos con solo cambiar un número de los otorgados para rastrear el paquete o documento que se envía”.
VI. Que se debe considerar que se trata de una vulneración de magnitud en tanto aunque se trate de datos personales básicos incluye la información de tarjetas de créditos, nombres, números de juicios, domicilios particulares de muchas personas titulares de datos personales. En este sentido hay que tener presente que había información de las distintas personas que utilizan el servicio de entrega de paquetes de la empresa.
VII. Que se debe indicar que la empresa puso en conocimiento de esta Unidad la existencia de una posible vulneración a sus datos en un breve plazo de tiempo indicando además que se estaban adoptando medidas de seguridad a los efectos de evitar continuar con la vulneración y se realizó una inspección a los efectos de comprobar que en la actualidad no se está repitiendo la situación recaída en el presente expediente.
VIII. Que sobre la presente vulneración de seguridad el CERTuy opina que “No es posible asegurar que los mecanismos utilizados por quien realizó el reporte sean o no “sofisticados”, si es posible afirmar que el conocimiento necesario para automatizar la recolección de datos, tal cual fue reportada, es bajo. Adicionalmente a lo comentado anteriormente, esto es también citado por quien realizó el reporte “Therefore a crawler that has a headless browser with JavaScript support can easily crawl all of the content and extract the results” haciendo mención a la simplicidad para la extracción de la información y el nombre genérico por el cual se denomina a este tipo de software “crawler””.
IX. Que a ello se debe agregar que en el informe de inspección se adjunta la auditoría realizada por una empresa dedicada al rubro donde se constata que el software padecía varias fallas de nivel alto, lo que generó un riesgo para las personas dado la cantidad de información manejada y de clientes involucrados.
X. Que corresponde a UES en su calidad de encargado de tratamiento el cumplimiento de las normas en materia de protección de datos conforme el artículo 12 de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
- Sancionar a UES S.A. con 12.001 Unidades Indexadas por incumplimiento a los artículos 10 y 17 de la Ley N° 18.331, de 11 de agosto de 2008.
- Exhortar a UES S.A. a realizar una evaluación de impacto en protección de datos personales dentro del plazo establecido por el decreto N° 64/020, de 17 de febrero de 2020.
- Intimar a UES S.A. a que finalice la inscripción de bases de datos en un plazo de 30 días hábiles, bajo apercibimiento.
- NOTIFÍQUESE Y PUBLÍQUESE
Fdo: DR. FELIPE ROTONDO
CONSEJO EJECUTIVO
URCDP