Resolución N° 65/023 .
VISTO: La vulneración de seguridad reportada por Administración Nacional de Telecomunicaciones (ANTEL).
RESULTANDO: I. Que con fecha 6 de agosto de 2021, se presenta el Gerente de la División Estrategias de Información de ANTEL a informar que en cumplimiento de lo dispuesto en el Decreto N° 64/020, de 17 de febrero de 2020, se remite informe de una vulnerabilidad detectada el 3 de agosto de 2021.
II. Que en el informe adjunto se indica que el 3 de agosto de 2021 se descubre actividad anómala en sistema de un Datacenter de ANTEL. En este informe además se detalla el reporte del incidente y toma de contacto y las acciones tomadas.
III. Que con fecha 23 de agosto de 2021, de mandato verbal del Consejo Ejecutivo, se solicita dar vista a ANTEL a los efectos de que informe si se ha cumplido con lo dispuesto en el Decreto N° 64/020, si hay otros organismos o instituciones involucradas, y si los mismos fueron comunicados. En su evacuación de la vista se remite informe complementario del reporte y se indica que se dio noticia preliminar a las autoridades y representantes alcanzados por el incidente.
V. Que posteriormente se remitieron informes complementarios a esta Unidad, y con fecha 5 de abril de 2022, se solicitó la colaboración del CERTuy en función de lo establecido por el artículo 38 de la Ley N° 19.670, de 15 de octubre de 2018.
VII. Que, con fecha 19 de agosto de 2022, el CERTuy informa la clasificación del incidente y las recomendaciones que oportunamente remitió a ANTEL.
CONSIDERANDO: I. Que de las actuaciones llevadas a cabo en el presente caso surge que existió una vulneración de seguridad del responsable ANTEL quien procedió a comunicar a esta Unidad dicha situación de acuerdo con el marco normativo vigente.
II. Que el artículo 10 de la Ley N° 18.331, de 11 de agosto de 2008, regula el principio de seguridad de los datos, complementado por el artículo 38 de la Ley N° 19.670 precitado y los artículos 3 y 4 del Decreto N° 64/020.
III. Que, además, corresponde considerar el artículo 12 de la Ley N° 18.331, que refiere al principio de responsabilidad en la redacción dada por el artículo 39 de la Ley N° 19.670 y el artículo 35 de la Ley N° 18.331 indica que “El órgano de control podrá aplicar las siguientes sanciones a los responsables de las bases de datos, encargados de tratamiento de datos personales y demás sujetos alcanzados por el régimen legal, en caso que se violen las normas de la presente ley, las que se graduarán en atención a la gravedad, reiteración o reincidencia de la infracción cometida”.
IV. Que en cuanto a los datos personales vulnerados se informó que la vulneración afectó a sistemas de terceros, pero no específicamente a bases de datos y se indica que se habían adoptado medidas preventivas sobre el acceso objeto del ciberataque antes de la vulneración, además de otras medidas indirectas (políticas y protocolos aplicados por las diversas áreas de tecnologías de la información y de operaciones). Se detalla además información acerca de los titulares de los datos personales (clientes, usuarios, etc.).
V. Que ANTEL hace referencia a las medidas realizadas para minimizar el impacto de la vulneración en forma detallada y en cuanto a las comunicaciones a terceros se informa que a partir del 8 de octubre de 2021 se cursaron comunicaciones escritas a los responsables de los sistemas, las que fueron seguidas de reuniones personales. En cuanto a los sistemas de cuentas Vera se indica que se les envió una llamada con un mensaje de audio pre grabado o un mensaje de correo electrónico, recomendando el cambio de contraseña de su cuenta. El proceso de notificación se realizó en etapas y expresan que están realizando cambios organizativos y de cultura empresarial.
VII. Que en nota presentada por el CERTuy, fechada el 19 de agosto ante esta Unidad, se califica el incidente como de “muy alta severidad” por lo que se considera que debe apegarse a esta calificación a los efectos de evaluar la gravedad del incidente acaecido. Ello sin perjuicio de la valoración de los mecanismos de seguridad implementados y las medidas de mitigación puestas en práctica.
VIII. Que en cuanto a la cantidad de personas afectadas no está estrictamente determinado ya que incluyó acceso a bases de datos propias de la institución y de terceros y en lo que hace relación con el nivel de daño, se debe indicar que más allá de las medidas de mitigación informadas por ANTEL surge de la extensión de personas jurídicas involucradas.
IX. Que según el artículo 4° literal k) de la Ley N° 18.331, de 11 de agosto de 2008, responsable es aquella persona física o jurídica, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento. En este caso entonces el responsable es ANTEL. Conforme con el art. 12 de la citada Ley, el responsable será responsable por la violación de las disposiciones de esta norma por lo que ANTEL deberá responder por la vulneración de datos sufrida en tanto se vulneró el principio de seguridad de los datos al haber un acceso no autorizado y copia de información personal obrante en varios instituciones públicas y privadas.
X. Que conforme con el art. 35 de la Ley N° 18.331, la URCDP puede imponer sanciones a los responsables en caso de que se violen sus normas, las que se graduarán de acuerdo con la gravedad, reiteración o reincidencia de la información. De acuerdo con la Resolución N° 105/015, de 23 de diciembre de 2015, se califica como infracción grave “Mantener las Bases de Datos, locales, equipos o programas que contengan datos personales sin las condiciones necesarias para garantizar su seguridad y confidencialidad.” Asimismo, esta norma establece que se considerará la gravedad de la situación, la adopción o no de medidas de seguridad, los derechos personales vulnerados, el volumen de los tratamientos efectuados, los daños y perjuicios causados a las personas interesadas y a terceros.
XI. Que se considera además oportuno informar que ANTEL declaró el incidente de seguridad ante esta Unidad dentro de los plazos legales establecidos y siempre evacuó las vistas conferidas.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
- Apercibir a ANTEL por incumplimiento de los artículos 10 y 12 de la Ley N° 18.331, de 11 de agosto de 2008.
- Intimar a ANTEL la presentación en un plazo de 30 (treinta) días hábiles una actualización de todas las medidas adoptadas, y de la evaluación de impacto correspondiente para su valoración por parte de esta Unidad.
- Notifíquese, y oportunamente archívese.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP