- Consejo para la Transparencia (CPLT), advierte que las medidas de seguridad que requiere este plan piloto deben considerar una adecuada protección de esta información personal ante la posibilidad de ciberataques.
- “Cualquier vulnerabilidad podría ser explotada, por ejemplo para cometer delitos informáticos o hacerse pasar por una persona con fines que no fueron autorizados y otros usos abusivos”, dijo el titular del organismo.
A juicio del CPLT, la implementación de este plan impone gran responsabilidad. Una de las cuestiones centrales a las que se debe atender es la protección de estos datos personales. “La facilidad que se otorga a las personas para solicitar de forma remota su clave única no sólo debe responder a criterios de eficiencia y funcionalidad, sino también a una adecuada protección de la información personal de los usuarios, por lo que se deben tomar todas las medidas necesarias para asegurar un adecuado resguardo de esta información ante vulnerabilidades y potenciales ciberataques”, explicó el titular de la entidad.
Entre las sugerencias para potenciar la seguridad de estos antecedentes, el Consejo apunta a “todos los procesos asociados a la entrega de la clave única y a su uso, los que requieren, en todo momento, la adopción de un enfoque proactivo, que garantice efectivamente los derechos de los titulares de datos. Aquí, por ejemplo, cobran relevancia los modelos de verificación de identidad de doble factor o multifactor”, explicó Jaraquemada.
Asimismo, la entidad considera clave que el análisis realizado previamente haya contemplado todos los riesgos de ciberseguridad que la operación de este tipo de herramientas trae aparejados. ”Es crucial implementar medidas de seguridad informática por defecto y desde el diseño”, subrayó el presidente del CPLT.
¿Cómo chequear la identidad de quien pide la clave?
Desde el Consejo detallaron también que la implementación de soluciones tecnológicas para autentificar la identidad de las personas que solicitan la clave única no puede implicar tratamientos de datos personales que no sean proporcionales respecto del objetivo que se busca.
“En otras palabras, el proceso de verificación de identidad debe limitarse a la recolección de datos personales que sean pertinentes con el fin de verificar si la persona que requirió la clave es la titular de los datos. No puede solicitarse una cantidad de información personal excesiva”, finalizó el máximo representante del Consejo.