Estas recomendaciones buscan que los organismos estatales generen sistemas que contengan los datos sensibles restringiendo el acceso a estos, seudonimizando la información y estableciendo una política de control de acceso de sistemas y sectores restringidos.
El Consejo para la Transparencia (CPLT), con fecha 21 de abril de 2020, dictó el oficio N° 501, en que formula recomendaciones para el debido cumplimiento de las disposiciones comprendidas en la Ley N°19.628, sobre protección de la vida privada y las medidas de seguridad que se sugiere adoptar a los órganos de la administración del Estado, en el tratamiento de los datos personales y datos sensibles con ocasión del brote COVID-19.
El CPLT, haciendo énfasis en el marco normativo general establecido para el tratamiento de datos personales y datos sensibles por parte de los órganos de la administración del estado, ha establecido cuatro recomendaciones dirigidas a los organismos públicos responsables del tratamiento de estos datos, estableciendo medidas que garanticen la integridad, confidencialidad y disponibilidad y en general la seguridad de todos los datos contenidos en sus registros, con la finalidad de evitar la alteración, perdida y acceso no autorizado a los mismos.
La primera de ellas busca garantizar en todo momento la seguridad de esta información, mediante el uso de sistemas informáticos actualizados y protegidos, en la que se busca implementar una clasificación de la información con la finalidad de otorgar un almacenamiento adecuado, aplicando un método de conservación que permita asegurar los mismos, mediante la utilización de programas, dispositivos, política de contraseñas, entre otras medidas.
La segunda recomendación pretende la incorporación de procedimientos tendientes a prevenir las filtraciones y accesos indebidos, y la definición de perfiles de acceso a los bancos de datos. Con ello, el CPLT pretende que los organismos de la administración del Estado generen sistemas que manejen los datos sensibles en donde se restrinja el acceso a la información sensible, enmascarando o seudonimizando la información, siguiendo el principio del mínimo privilegio, estableciendo una política de control de acceso de sistemas y sectores restringidos.
La tercera de las recomendaciones hace alusión al deber que poseen los organismos de la administración del Estado de informar a los titulares de los datos personales sensibles, las eventuales brechas de seguridad que pudiesen ocasionarse, las consecuencias de ello y las medidas a adoptarse para dar una solución a dicha filtración. Para ello se les recomienda a dichas instituciones establecer un plan de acción para sobrellevar las posibles fugas de información, que deberán considerar la detención, alerta, diagnóstico de la situación, coordinación y ejecución de las acciones, además de establecer a las autoridades a las que se les informará dicha filtración.
La cuarta y última recomendación concierne a aquella información que es comunicada o transmitida a terceras personas, sean naturales o jurídicas, recomendándoles que se tome todas las medidas de encriptación a efectos de asegurar la integridad y confidencialidad de los datos entre remitente y destinatario. Señalando que este tipo de información debe ser intercambiada solo de ser estrictamente necesario, diseñando para ello un sistema que cuando exista dicho intercambio se remita por medio de un canal seguro y cifrado.
Finalmente, el CPLT se refirió al uso seguro de herramientas tecnológicas que permiten el teletrabajo y el teleaprendizaje, realizando recomendaciones a los órganos de la administración del Estado, con la finalidad de que el empleo de estas modalidades de trabajo o plataformas no implique una afectación a la privacidad, intimidad o la protección de los datos personales de sus usuarios, en especial a los datos de aquellos sujetos menores de edad en cuanto se tratan de derechos fundamentales consagrados y asegurados en nuestra Constitución. Recomendando para ello realizar un examen exhaustivo de las eventuales vulnerabilidades y riesgos de privacidad asociados a la solución tecnológica que se pretende implementar, con la finalidad de otorgar la seguridad pertinente a dichos sistemas, sugiriendo el uso de políticas de carácter general aplicable al uso de sistemas y programas informáticos en el contexto de trabajo remoto y teleaprendizaje. Aconsejando ponderar la probabilidad de riesgos y la gravedad de sus efectos con el tipo de datos tratados, así como también establecer protocolos que permitan enfrentar dichos incidentes, entre otros.