Hace unos meses un usuario en Twitter llamado @andresg comentaba como tuvo problemas con su usuario de la aplicación Rappi, de la cual la tenia vinculada con facebook para su autenticación y de la cual se habían hecho varios pedidos que el no había solicitado. Así mismo, al solicitar respuesta a Rappi está se quedaba corta en darle una aplicación satisfactoria.
Sin lugar a duda las aplicaciones de domicilio se han vuelto una necesidad para poder solicitar lo que necesites es el caso de restaurantes, domicilios, vueltas, dinero, tecnología, entre otros temas. El problema de las aplicaciones de domicilios y mensajería es como garantizar el manejo correcto de datos personales o aspectos de seguridad de la información, los cuales se convierten en responsabilidad del usuario y de las aplicaciones.
Para esto recuerdo el caso que llevamos con Cloud Seguro y el cual terminó en una multa en Febrero de 2018 por parte de la Superintendencia de Industria y Comercio (SIC), contra la aplicación domicilios.com. El caso se resume en donde una persona llamadaAndrés Santamaría, utilizó la aplicación móvil domicilios.com en el 2015, y por un error de la aplicación está envío sus datos personales a un tercero, al cual le habían robado el celular lo que hizo que este pensará que estaban haciendo el pedido desde su celular robado. Luego de que Andrés fuera acusado por hurto por el tercero la aplicación respondió que todo se debía a un error tecnológico por un proceso de migración y cambios en la plataforma.
Nosotros realizamos las actuaciones judiciales en el caso de Andrés, en donde interpusimos una denuncia a la delegatura de protección de datos de la SIC en donde está interpone una multa por la suma de $213.937.930, a la empresa que representa a domicilios.com. El fallo resalta temas como la responsabilidad de las empresas en el tratamiento de datos en donde los responsables y encargados en el tratamiento deben identificar y determinar los riesgos asociados al tratamiento de datos que realizan dependiendo de la estructura organizacional, sus procesos y procedimientos internos asociados al tratamiento de datos.
EL FALLO DE DOMICILIOS
La multa a domicilios hace un análisis a los temas técnicos de la plataforma móvil, analiza el tema de la autorización del titular, analiza las quejas y reclamos, y si bien es cierto domicilios pudo demostrar debida diligencia en varios aspectos no lo pudo hacer en el envió de correos electrónicos para confirmar el pedido.
La SIC, en el fallo señala lo siguiente: “Se encuentra que respecto a los datos personales de 8 titulares, la sociedad no cumplió con el deber de conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento, y aunque la sociedad se enteró de este acceso no autorizado por parte de terceros a través de quejas presentadas por los titulares señalados. Así mismo, el fallo también resalta como los titulares entre ellos nuestro cliente Andrés Santamaría resultaron victima de la divulgación de su información personal por causa de un error tecnológico.
La Delegatura deja claro en el fallo como la aplicación dejo expuesto sin ningún tipo de control, a través de mensajes de confirmación de pedido, los datos personales tales como el nombre completo, dirección de residencia, teléfono de los usuarios, al cruzarse los ID.
Con la sentencia de la SIC se deja claro como un mal manejo de datos, puede generar una gran cantidad de perjuicios económicos y reputacionales al titular del dato. La SIC muestra como muchos aspectos técnicos y de seguridad de la información son necesarios en todo el proceso del dato personal en aplicaciones o servicios que recolecten datos personales.
DESARROLLO SEGURO Y POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Aplicaciones como Rappi, Uber, Domicilios, son cada vez mas utilizadas y cambian muchas costumbres en las personas. El problema es que el ciudadano del común no se preocupa por proteger la información personal en el uso de estás aplicaciones.
Existen varias alternativas para proteger nuestra información personal que empiezan a volverse una buena practica es el caso de autenticación de doble factor, uso de tarjetas prepagadas, contraseñas fuertes, creación de seudónimos, el no uso entre otras. Pero lo más importante es tratar de entregar los menos datos posibles ya que entre más datos entreguemos más riesgos existen.
Siempre me he preguntado por que tenemos que dar nuestros datos reales para pedir un domicilio, por que no simplemente utilizamos seudónimos. Esto lo vengo utilizando hace un par de años y me ha demostrado que para la aplicación le es indiferente como te llamas. Por los riesgos de la actualidad el derecho a no entregar tus datos se convierte en una alternativa para proteger tu privacidad.
LA SEGURIDAD DE LA INFORMACIÓN UNA OBLIGACIÓN DE TODO TIPO DE SERVICIOS Y APLICACIONES
Uno de los errores de muchas empresas es pensar que la protección de datos personales no se une con la seguridad de la información. Las empresas deben entender que la aplicación de normas como la ley 1581 de 2012, no solo tienen aspectos jurídicos. En la actualidad las buenas prácticas de seguridad de la información aplican para todo tipo de empresas, sin importar su tamaño o el producto que ofrezcan. La misma SIC, en el fallo nos recuerda el concepto de incidente, referido a cualquier suceso en los sistemas de información que atente contra la seguridad de los datos personales almacenados en una base de datos.
Los incidentes que afecten bases de datos deben ser informados a la Delegatura de Protección de Datos de la SIC, ya que constituye una riesgo al manejo del dato y una violación al código de seguridad.
Otro tipo de obligación legal y tecnológica es guardar copia de la autorización del dato, en los días seguidos a que ocurriera el incidente de Andrés Santamaría, solicitamos a la aplicación domicilios copia de la autorización de la cual nunca tuvimos respuesta. En el desarrollo de una aplicación, un sitio web se debe diseñar la recolección de la autorización para dejar prueba física o digital en cualquier momento de esta. El diseño de una aplicación web que como domicilios, utiliza todos los días datos personales debe aplicarse el concepto de privacidad por defecto como estándares de desarrollo seguro entre ellas la de OWASP, la cual ofrece una metodología para el desarrollo de aplicaciones y servicios de forma segura.
Las aplicaciones también tienen el deber de no solo tener políticas de protección de datos en word o papel, los temas de seguridad de la información cada día son mas técnicos y especiales y requieren buenas practicas de seguridad, es el caso de desarrollo seguro, el realizar pruebas técnicas como análisis de vulnerabilidades o ethical hacking a las distintas plataformas iOS o Android.
ENTENDER LOS RIESGOS DE SEGURIDAD
Los riesgos de seguridad de las empresas se dan todos los días, por ejemplo en el caso domicilios, el riesgo se vio en la migración y en el envió del correo de confirmación de un pedido. Las empresas de acuerdo a su negocio deben mapear los riesgos en protección de datos y seguridad con el fin de saber como mitigarlo en el caso que ocurra.
El usuario debe entender que sus datos están en una base de datos que reposa en manos de muchos encargados, por lo tanto, en el momento de solicitar un domicilio debes entender que juegan múltiples factores que hacen posible la entrega de un producto.
El reto de las aplicaciones y de los usuarios es entender los riesgos en seguridad y privacidad de la información y hacer lo posible para entregar y recolectar la menor cantidad de datos. Estoy seguro que usuarios como Andrés Santamaría o el mismo @andresg, ya piensan dos veces antes de pedir un domicilio.
Por: *Germán Realpe Delgado- Ceo Cloud Seguro