FS GrietaSistemaProtecciónDatosNacional WEB

Grieta en el Sistema de Protección de Datos Nacional.

Una grieta en el sistema de protección de datos nacional habría permitido a un estudiante de la Facultad Pública de Ingeniería, acceder a la mayoría de los números de cédula de identidad de los uruguayos. Éste accedió a través de Google, y luego volcó la información en un sitio web, para el uso del público en general.

El estudiante utilizó un mecanismo de script para que, a partir del tipeo de la cédula de identidad de un sujeto, apareciese su nombre y apellido.

La información fue obtenida – sin hackear – de distintas páginas webs del Estado, y fue convalidada – en algunos casos – con los registros que lleva la Dirección Nacional de Identificación Civil, la cual almacena en sus bases de datos esta información.

A raíz de su puesta a disposición en internet, la Unidad Reguladora y de Control de Datos Personales (la “URCDP”) – que se rige por las disposiciones de la Ley Nro. 18.331 (la “Ley”) de protección de datos personales – tomó cartas en el asunto, en tanto se trata de datos personales, cuya utilización por cualquier tercero debe ser autorizada expresa o tácitamente por el titular de los mismos.

La URCDP concluyó, con fecha 9 de setiembre de 2019, que la divulgación de los datos por parte del estudio era ilícita, a pesar de que su recopilación provino de sitios públicos, en tanto no se probó la finalidad compatible tal como aboga el artículo 8 de la Ley: “Principio de finalidad. Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aun cuando haya permitido tal necesidad o pertinencia. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular”.

 

Fuente: El Observador