¿Otro lío para EPM? Ciberataque habría dejado en evidencia las debilidades de la empresa en la protección de datos personales

El ciberataque sufrido por EPM en los últimos días pudo dejar en evidencia la vulnerabilidad de la empresa en cuanto al resguardo de la base de datos de los clientes, lo que va en contravía de la Ley y podría desencadenar una investigación por parte de la Superintendencia de Industria y Comercio.

La Ley 1581 de 2012 estableció una serie de normas en aras de garantizar la protección de datos personales. Sobre el particular, señala que los encargados y responsables del tratamiento de los datos deben garantizar la custodia efectiva de la información, especialmente de las bases de datos.

Es importante señalar que la Ley establece que el encargado de los datos personales es aquella persona natural y jurídica (pública o privada) que realiza el tratamiento de los datos personales. Asimismo, el responsable es la persona natural o jurídica que decide sobre la base de datos o el tratamiento que se dará de la información.

Así las cosas, según la Ley, EPM es la persona jurídica que está encargada y es la responsable de las bases de datos de sus clientes, las mismas que, al parecer, fueron sustraídas de los sistemas de la empresa.

De hecho, el principio de seguridad establecido en la Ley indica que «la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento».

Al parecer, lo anterior no se cumplió por parte de EPM, pues no habría adoptado las medidas de seguridad necesarias para evitar la pérdida, uso y acceso no autorizado a las bases de datos de la empresa.

Además, el artículo 18, numeral b de la Ley indica que los encargados del tratamiento deberán «conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento».

Pese al hermetismo con el que EPM ha manejado el ciberataque, la información que han entregado las fuentes confidenciales a IFMNOTICIAS.COM indica que los piratas informáticos capturaron varios Teras que incluyen bases de datos de los clientes de Empresas Públicas de Medellín.

En este sentido, el secretismo afecta la imagen corporativa de EPM y atenta contra los derechos de los usuarios registrados en la empresa. Hasta el momento, ningún cliente de EPM ha sido notificado de la sustracción de sus datos, aunque se supo que ya llegó una petición de rescate de la información. ¿Y los derechos de los usuarios, para cuándo?