Fuerza de seguridad es sancionada por un incidente de seguridad

Frente a noticias periodísticas que indicaban que la Policía Federal Argentina (PFA) habría sido víctima de un incidente de seguridad en el que se habrían filtrado 700 gigabytes de información confidencial, incluidos datos personales y de legajo de miles de oficiales de la fuerza, copias de seguridad de correos electrónicos, escuchas telefónicas, huellas dactilares y documentación escaneada, entre otros archivos reservados, la Agencia de Acceso a la Información Pública (AAIP), en su carácter de Autoridad de Aplicación de la Ley N° 25.326 sobre Protección de Datos Personales (LPDP), inició una investigación de oficio.

De acuerdo con lo informado por la PFA ante una solicitud formulada por la AAIP, el incidente de seguridad se habría generado a partir de una intrusión de los delincuentes en diversas casillas de correo electrónico no institucionales (en particular, casillas de Gmail y de Hotmail) que eran utilizadas por algunas dependencias de la PFA para transmitir información confidencial. Dicha intrusión, por su parte, se habría producido por intermedio de una técnica de “phishing”, en un malware oculto en un formulario del sitio web oficial de la Superintendencia de Bienestar de la PFA (https://supbienestar.gob.ar). Este código malicioso les permitió a los delincuentes descifrar los usuarios y las claves de los correos electrónicos no institucionales.

La AAIP, tras examinar los antecedentes del caso y la información remitida por la PFA, concluyó que el organismo policial no había adoptado acciones preventivas suficientes para evitar la producción del incidente de seguridad. Para arribar a tal conclusión, la AAIP cuestionó la falta de fiscalización del uso obligatorio de correos electrónicos institucionales, en lugar de los correos electrónicos personales, para la transmisión de información confidencial.

Por otra parte, la AAIP analizó las razones detrás de la existencia del malware en el sitio web oficial https://supbienestar.gob.ar. De acuerdo con reportes provistos a la AAIP por la PFA, el software utilizado por la PFA estaba expuesto a diferentes vulnerabilidades de seguridad puesto que no disponía de soporte oficial.

En esta línea, la AAIP determinó, por un lado, que la PFA incumplió las previsiones del artículo 9 de la LPDP, que se refiere a la obligación de adoptar medidas de seguridad, y del artículo 10 de la LPDP, que regula la obligación de confidencialidad que debe observar el responsable de la base de datos. Como consecuencia de estas dos infracciones, la AAIP aplicó a la PFA dos apercibimientos, en sintonía con la Disposición DNPDP N° 07/2005.

Asimismo, la AAIP observó que la PFA no había cumplido las “medidas de seguridad recomendadas para el tratamiento y la conservación de los datos personales en medios informatizados”, presentes en la Resolución AAIP N° 47/2018.

Aunque la AAIP no sancionó pecuniariamente a la PFA, dado que estimó que una multa pecuniaria solamente hubiese implicado una transferencia de fondos entre dos dependencias del Estado Nacional, este caso es importante porque aporta un nuevo análisis y evaluación de las medidas de seguridad adoptadas por los responsables del tratamiento de datos personales.