Política de Privacidad
Política de Privacidad del Sitio Web del CSIRT de Gobierno, versión 2024052401
1. Introducción
Este documento describe las políticas y prácticas de tratamiento de datos personales que realiza el Equipo de Respuesta ante Incidentes Informáticos del Gobierno de Chile (en adelante, CSIRT) en relación a la utilización de su sitio web https://csirt.gob.cl (en adelante, el Sitio Web). Al utilizar el Sitio Web, registrarte en él, o utilizar alguno de los servicios gratuitos ofrecidos en el mismo, declaras conocer y aceptar el contenido de esta política de privacidad, otorgas tu consentimiento expreso, y autorizas el tratamiento de la información personal enviada directamente por ti, o recolectada a través de cookies.
La presente política de privacidad es válida sólo para el Sitio Web. En caso de que estés usando un servicio específico brindado por el CSIRT, revisa si existe un anexo a esta política de privacidad que sea aplicable de manera específica a ese servicio.
2. Condiciones de uso
Para visitar el Sitio Web y acceder a la información que contiene debes cumplir con las condiciones establecidas en esta política de privacidad.
Para solicitar cualquiera de los servicios que el CSIRT ofrece, es condición necesaria que trabajes en un Organismo de Administración del Estado (en adelante, OAE), tal como se define en el artículo 1 de la ley 18.575 Orgánica Constitucional de Bases Generales de la Administración del Estado. Si no trabajas en una OAE, no puedes acceder a ninguno de los servicios ofrecidos por el CSIRT.
3. Recolección de información
Si no te registras en el Sitio Web, podemos recopilar la siguiente información, ya sea directamente o a través de servicios externos como Google Analytics:
- Tu dirección IP y el instante en que accediste al Sitio Web,
- El registro de tu navegación en el Sitio Web, y los instantes en que accediste.
Al registrarte en el Sitio Web recopilaremos adicionalmente los siguientes datos personales, por cuya veracidad, actualización, precisión y completitud eres responsable:
- Nombre y apellido
- Correo electrónico
- Número de teléfono laboral y/o personal
- Datos y preferencias generales sobre los servicios que ofrece el CSIRT
- Servicio público en el que te desempeñas, y tu cargo en esa institución
- Dirección IP desde donde realizas la inscripción
- Metadatos asociados a la transmisión de información
Al usar alguno de los servicios ofrecidos en el Sitio Web, podemos recopilar algunos datos adicionales, que están indicados en la política de privacidad correspondiente a cada servicio.
4. Procesamiento de información
En caso de que no te registres en el Sitio Web, utilizaremos la información recopilada sólo para mejorar el Sitio Web y para brindar un mejor servicio.
En caso de que te registres en el Sitio Web, el CSIRT utilizará la información que nos has proporcionado para los siguientes propósitos:
- Para verificar que trabajas en un OAE, a través de:
- La verificación de que el correo electrónico que registras utilice un subdominio de gob.cl, o un subdominio de cl que esté preregistrado en el CSIRT como perteneciente a una OAE, y
- El envío de un mensaje con un link para confirmar que tienes dominio y control de la dirección de correo electrónico que registraste.
- Para hacerte llegar información sobre uno o más de los siguientes temas:
- Reportes reservados sobre los resultados de escaneos de vulnerabilidades o sobre pruebas de penetración (pentesting) aplicados sobre recursos de tu institución,
- Reportes de información agregada sobre vulnerabilidades, incidentes, fallas, problemas, amenazas, indicadores de compromiso, y otros tipos de información que pudieran afectar a la ciberseguridad de la institución donde trabajas, o que pudieran ser de utilidad para tu institución,
- Recomendaciones de ciberseguridad que pudieran ser útiles para ti o para los funcionarios de tu institución,
- Cuestionarios para evaluar el nivel de madurez en ciberseguridad de las personas de tu institución,
- Información sobre cursos, charlas, conferencias u otros eventos de capacitación, entrenamiento o concientización sobre ciberseguridad,
- Parches que es necesario aplicar urgentemente para proteger tu institución de una vulnerabilidad grave,
- Información sobre los servicios o recursos que ofrece el CSIRT,
- Otros tipos de información sobre ciberseguridad que pudieran ser de utilidad para ti o para los funcionarios de tu institución, o para mejorar o aumentar la ciberseguridad de tu institución.
- Para enviar correos electrónicos, o mensajes a través de sistemas de mensajería instantánea a el o los contactos que sean provistos, para confirmar o negar la existencia de un incidente en tu institución en caso de que tengamos evidencia de que existe una afectación de sus activos.
- Para alimentar modelos automáticos que nos permitan estimar el nivel de exposición al riesgo de tu institución frente a amenazas existentes en las redes chilenas.
- Para los demás propósitos que se mencionan en la presente política de privacidad.
5. Información de otras fuentes
Recopilamos información personal desde otras fuentes, como listas de asistencia a cursos, charlas, conferencias u otros eventos presenciales o en línea de capacitación; y respuestas a cuestionarios automáticos o manuales enviados por nosotros a personas de tu institución.
En caso de que tu institución esté conectada a la Red de Conectividad del Estado (en adelante, RCE), recopilamos información de tráfico de red desde y hacia tu institución, y desde otras instituciones conectadas a la RCE desde y hacia tu institución.
Utilizamos la información anterior para el mismo propósito contenido en el número 4 del apartado sobre Procesamiento de Información.
6. Compartiendo tu información
El CSIRT no comparte la información personal que nos proporcionas con terceras partes. Únicamente compartiremos informes y reportes estadísticos con información agregada, o anonimizados de manera irreversible.
El CSIRT tiene la obligación de enviar información agregada y anonimizada al Senado de la República sobre incidentes de ciberseguridad ocurridos en todas las instituciones de gobierno de forma trimestral y semestral.
Tus datos personales podrían ser divulgados a requerimiento de una autoridad pública siempre y cuando se nos exhiba una orden judicial, salvo que exista un mandato legal específico que establezca otro estándar.
7. Decisiones automatizadas
El CSIRT puede procesar automáticamente tu información personal, la información personal de funcionarios de tu institución, o la información de tráfico de red desde y hacia tu institución para los siguientes propósitos:
- Para construir un perfil del nivel de madurez en ciberseguridad de tu institución. Esto significa que el CSIRT puede procesar tu información personal mediante algoritmos públicos o propietarios para evaluar aspectos personales e intentar predecir riesgos o resultados.
- Para proveerte, o proveer a tu institución, de información útil para la gestión de los riesgos de ciberseguridad que puedan afectar a tu institución.
- En caso de que tu institución esté conectada a la RCE, para brindar información sobre el rango de direcciones IP asignados a tu institución, sobre el tráfico de red dirigido a tu institución, y un resumen del tráfico desde tu institución hacia la RCE.
- Proveer información sobre los servicios que han sido solicitados en nombre de tu institución y sus resultados.
Sin perjuicio de lo anterior, el CSIRT no tomará otras decisiones automatizadas basadas en la información recopilada o deducida de los modelos anteriores.
8. Responsabilidad de terceros
Nuestros Servicios pueden incluir enlaces a sitios web y servicios de terceros sobre los cuales no tenemos control. No nos hacemos responsables por los productos o servicios de terceros, ni asumimos responsabilidad por la seguridad ni la privacidad de la información recopilada por estos sitios web u otros servicios, por lo que te recomendamos revisar las políticas de privacidad pertinentes de los sitios web y servicios de terceros que utilices.
9. Seguridad de la Información
El CSIRT adopta continuamente medidas técnicas, administrativas y físicas para mantener seguros los datos personales cuyo tratamiento realiza. En caso de producirse una brecha de seguridad que implique una divulgación no autorizada de datos personales, notificaremos de ello a los titulares de los datos mediante el envío de un correo electrónico a la dirección proporcionada para ello, si procediere.
10. Retención de tu Información
Los datos recogidos en el Sitio Web se almacenarán únicamente por el tiempo necesario para cumplir los objetivos asociados a los mismos, o por el tiempo que lo ordene la ley si es que existiera alguna obligación legal para hacerlo. De esta forma, a menos que exista una disposición legal que lo impida, a solicitud expresa del titular de los datos personales o cuando el tratamiento deje de ser necesario, el CSIRT destruirá la información personal de la base de datos, conservando registros anonimizados de manera irreversible de la siguiente información no personal:
- Metadatos asociados a la transmisión de información; y
- Respuestas anonimizadas a los cuestionarios de diagnóstico de ciberseguridad.
11. Tus derechos
De conformidad a lo dispuesto en el Título II de la Ley de Protección de Datos Personales de Chile (Nº 19.628), tienes los siguientes derechos:
- Acceder a tu información personal;
- Rectificar la información que el CSIRT tiene sobre ti;
- Solicitar la eliminación de tu información personal;
- Solicitar la restricción del uso de tu información personal por parte del CSIRT; y,
- Oponerte al uso de tu información personal por parte del CSIRT.
Si necesitas más información sobre cómo se utilizan tus datos personales, o si deseas revisarlos, actualizarlos, solicitar su eliminación o acceso a los mismos, envía un correo electrónico a [email protected]. El responsable del tratamiento de datos personales es la Coordinación Nacional de Ciberseguridad, domiciliada en Teatinos 92, piso 6, Santiago, Chile. Su representante legal es el Subsecretario del Interior, Sr. Manuel Monsalve Benavides.
12. Cambios a esta política de privacidad
Estos Términos y condiciones pueden ser actualizados para reflejar cambios en los servicios provistos por el CSIRT, o para reflejar cambios en las leyes aplicables. Los cambios serán debidamente informados a través del Sitio Web, o a través de correos electrónicos enviados a los encargados de ciberseguridad.