Contraloría: Ministerio de Trabajo no tenía la administración de la base de datos del Bono Proteger

La Contraloría General de la República ordenó al Ministerio de Trabajo y Seguridad Social (MTSS) asumir el control de la base de datos que se creó con relación al Bono Proteger. La orden se da debido a que la Contraloría identificó una serie de riesgos asociados a los controles sobre la base de datos que el Ministerio, como responsable debía ejercer y quedaron en manos de la empresa que donó la plataforma.

Dato D+: La base de datos del Bono Proteger se realizó a través de una donación de la empresa CONTINUM DATA CENTER S.A, que se formalizó por medio de un convenio de cooperación entre la empresa y el MTSS.

Según indicó la Contraloría a la ministra de Trabajo, Silvia Lara Povedano, en el proceso de auditoría que se ha realizado sobre el Bono Proteger se logró identificar que el “Ministerio no tenía la administración de la base de datos del Bono Proteger y tampoco había accedido a las respectivas bitácoras, pese a ser el responsable de dicha base de datos y tener la obligación de su administración”, sino que esas potestades quedaron siempre dentro de la empresa donante.

El problema radica en que el consentimiento informado que debían firmar todas las personas al ingresar sus datos para solicitar el Bono Proteger, decía expresamente que el responsable de la base de datos sería el Director o Directora Nacional de Empleo a cargo del Programa Nacional de Empleo, del Ministerio de Trabajo y Seguridad Social.

En la orden la Contraloría le recordó al Ministerio de Trabajo que el artículo 3 inciso h) de la Ley de Protección de las personas frente al tratamiento de sus datos personales (Ley 8968) y el artículo 2 inciso s) de su Reglamento (Decreto 37554) señalan que  el responsable de la base de datos, es “aquella persona física o jurídica que administre, gerencie, se encargue o sea propietario de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán”.

Adicionalmente, la orden señala que se encontró que el Ministerio de Trabajo no tuvo el control para asignar roles de acceso y administración a la base de datos, sino que esto estaba bajo el control del representante de la empresa donante. Esto quedó claro tras una reunión realizada entre funcionarios del Ministerio y la Contraloría, en la que realizaron consultas relacionadas con el otorgamiento de claves de acceso a la base de datos y al sistema y los funcionarios del Ministerio de Trabajo refirieron al representante de la empresa como la persona encargada. Además, el Ministerio de Trabajo confirmó a la Contraloría que ellos no contaban con un mecanismo de control para ejercer funciones de supervisión y/o aprobación sobre el Administrador de la Base de Datos, más allá de lo estipulado en el convenio.

La orden de la Contraloría señala que la ministra Lara deberá:

• Solicitar al representante de la empresa donante, el traspaso de claves, roles y privilegios de administración para las bases de datos y repositorios en el que se se encuentre la información.
• Solicitar al representante de la empresa donante, el acceso exclusivo del MTSS a las bitácoras de la base de datos, así como ejecutar una revisión periódica sobre todas aquellas acciones que se ejecuten en adelante.
• Certificar que todas las personas que han intervenido en cualquier fase del tratamiento de datos personales del Programa Bono Proteger, tienen conocimiento de su obligación legal de confidencialidad.
• Solicitar la totalidad de los respaldos que se hayan realizado de la información de la base de datos, acompañados de una declaración jurada de los anteriores responsables, donde se haga constar la no existencia de ningún respaldo adicional.
• Instruir a los funcionarios del MTSS con la autoridad y competencia técnica requeridas, proceder con la destrucción de cualquier copia de la información que se encuentre fuera de ese Ministerio

La Contraloría le dio a la ministra Lara plazo hasta el 17 de marzo para certificar el cumplimiento de las acciones ordenadas. La ministra de Trabajo publicó un video en horas de la tarde, en el que aseguró que la migración de datos de la empresa privada al Ministerio de Trabajo ya había iniciado, pero no se refirió a los señalamientos, sobre la administración de la base de datos por parte de la empresa privada, que realizó la Contraloría.

Esta nota fue actualizada a las 6:00 p.m. para incluir la reacción de la ministra de Trabajo.