El Comisionado de Privacidad ha emitido hoy un aviso de conformidad a la Reserve Bank de la Nueva Zelandia, provocado por un ataque informático en diciembre de 2020.
Esta es la primera vez que el Comisionado de Privacidad ha emitido un aviso de conformidad desde cuando ha recibido estos nuevos poderes en el Privacy Act 2020.
El ciber ataque ha sido una significativa violación de uno de los sistemas de seguridad del banco y ha planteado la posibilidad de una debilidad sistémica en los sistemas y en los procedimientos del Banco de protección de las informaciones personales.
Como parte de la investigación sobre la violación, el Banco ha asumido KPMG para empezar una revisión independiente de sus sistemas y procesos. La revisión ha revelado múltiples áreas de no conformidad con el principio 5 de la privacidad.
La Autoridad esta reconfortante desde la velocidad y la integridad de la solicitud del Banco. Ha sido avisado tan pronto como el ataque ciber ha sido identificado, ha sido constructiva y abierta durante todo el procedimiento de investigación de conformidad. Se complace de ver la manera positiva con la cual han afrontado las consecuencias del ataque.
El aviso de conformidad emitido hoy proporciona un modelo por el Banco para referirse al Comisionado de Privacidad, conformando los mejoramientos a sus políticas y procedimientos para rendir los sistemas más seguros.
Los resultados del OPC son coherentes con los resultados y las recomendaciones de la revisión KPMG.
Se aceptan estos resultados y se toman las responsabilidades completas para las faltas identificadas en los sistemas y procedimientos. El Director del Banco tiene un sistema detallado de trabajo para afrontarlas. Esto trabajo empezó poco después el accidente de la violación de datos mediante el programa de mejoramiento de servicios empresariales (BSIP) que sigue siendo una prioridad clave en Te Pūtea Matua.
El mismo Director quiere agradecer una vez más el OPC para su apoyo durante este accidente y el enfoque cooperativo que han adoptado durante su investigación.
El rol de la Autoridad es de proporcionar los mejores resultados de privacidad para todos los neozelandeses, utilizando los poderes que tienen. Cuando identifican problemas que comprometen la seguridad de las informaciones personales, utilizaran los poderes de conformidad para asegurarse que estos riesgos sean afrontados. Este aviso de conformidad proporcionar también la oportunidad de aprendizaje por el Banco y por otras agencias. La Autoridad aprecia la madurez y la abertura que le Banco ha revelado en este procedimiento, y espera que otros puedan aprender desde esta situación.
El Privacy Act permite la publicación de avisos de conformidad caso por caso, si el Comisionado considera que sea deseable hacerlo en el interés público.
Publicar los detalles completos del aviso de conformidad podría comprometer algunos de los retos en curso para rectificar completamente las cuestiones que han sido identificada. Todavía, la Autoridad ha decidido que es necesario reconocer públicamente los pasos tomados desde el Banco, para proporcionar la garantía que estos problemas han sido afrontados.
Contexto
- Un aviso de conformidad es un aviso escrito del Comisionado de Privacidad a una agencia del sector público o privado que la agencia está violando sus obligaciones legales bajo el Privacy Act.
- El principio 5 del Privacy Act dice que las agencias que tienen informaciones personales tienen que tener razonables medidas de seguridad en acto para proteger la privacidad personal.
FUENTE: AUTORIDAD DE PROTECCIÓN DE DATOS DE NUEVA ZELANDIA – OPC