La Agencia de Rentas de Canadá ha despedido a un empleado por la mayor brecha de privacidad detectada en cuentas confidenciales de contribuyentes.
El empleado accedió indebidamente a las cuentas de 38 contribuyentes en detalle, y accedió brevemente a otras 1.264 cuentas usando una función de búsqueda para encontrar apellidos y códigos postales.
El incidente ocurrió en una oficina de la agencia en la región de las praderas antes del 23 de marzo de 2016, cuando se inició una investigación, según un informe interno.
«No se realizaron cambios en ninguna de las cuentas», dice el documento, obtenido por un conocido medio de noticias bajo la Ley de Acceso a la Información.
«El tipo de información personal incluía: nombre, información de contacto, número de seguro social, ingresos y deducciones e información sobre el empleo … La policía no será notificada».
El documento no identifica al trabajador ni la fecha exacta y la ubicación de la infracción.
Un portavoz de la CRA reconoció el incidente, pero minimizó el impacto.
«Esto representa el mayor incumplimiento en la CRA cuando se mide por el número de cuentas», dijo Patrick Samson en un correo electrónico.
«Sin embargo, es importante tener en cuenta que estas (1.264) cuentas fueron vistas durante aproximadamente dos segundos por cuenta … El empleado en cuestión fue terminado por sus acciones».
La investigación interna sobre el incumplimiento concluyó el 16 de noviembre de 2016, con la decisión de notificar a las 38 personas que sus cuentas habían sido examinadas incorrectamente.
«Posibilidad de atención de los medios de comunicación»
«La administración regional ha indicado que hay una posibilidad de atención de los medios de comunicación», dice el informe a la oficina del comisionado federal de privacidad, que es obligatorio cuando hay una violación material de privacidad.
La divulgación sigue el reconocimiento de la CRA en febrero de que uno de sus mensajeros perdió un DVD que contenía la información confidencial de impuestos de 28.000 contribuyentes en Yukon, aproximadamente tres cuartos de la población total en el territorio.
La información -que se refiere al año de presentación de 2014, y destinada al gobierno territorial- fue encriptada y organizada de manera de resistir el acceso no autorizado.
«En este momento, no hemos sido informados de que los datos han sido accedidos o utilizados de ninguna manera», dijo Samson. «No hay evidencia en este caso que la información personal en el DVD ha sido comprometida.»
«La investigación sigue en curso en este caso y no se han presentado cargos».
La CRA notificó nueve violaciones materiales de privacidad en el año que terminó el 31 de marzo, ocho de las cuales involucraban a empleados que accedían indebidamente a la información del contribuyente. Todos los trabajadores implicados fueron despedidos, dijo Samson.
La CRA ha estado bajo escrutinio para controles laxos. El comisionado de privacidad de Canadá investigó el problema en 2009 y 2013, y la agencia está entre los cinco principales infractores de privacidad de unas 240 instituciones federales sujetas a la Ley de Privacidad.
Snooping trabajadores
A diferencia de otros departamentos, los culpables son por lo general snooping empleados en lugar de incumplimientos inadvertidos, tales como palos de memoria perdidos. Alrededor de 40.000 personas trabajan para la agencia.
CBC News ha obtenido detalles de otros incidentes previamente no reportados a través de la Ley de Acceso a la Información, incluyendo uno en la región de Ontario en junio pasado, en el cual un trabajador accedió indebidamente a 11 cuentas, cambiando dos de ellas; Y otro incidente de Ontario, donde un empleado entró en 25 cuentas, revelando información acerca de seis de ellos fuera de la agencia.
El 31 de marzo, la CRA completó un proyecto de tecnología de 10,2 millones de dólares que dice que examinará más de cerca el trabajo de los trabajadores. El sistema «supervisará los accesos de los empleados a la información del contribuyente y señalará los accesos que parecen inconsistentes con las cargas de trabajo o los deberes asignados a los empleados», dijo Samson.
Agregó que el número anual de violaciones reportadas por la CRA ha estado cayendo, de 34 en 2014 a 27 en 2015 ya 10 desde el 1 de enero de 2016.
Entre los incidentes ocurridos en 2014, hubo una confusión en la que se envió un CD lleno de información confidencial de los contribuyentes a CBC News, incluyendo información personal sobre más de 1.000 personas, muchas de ellas celebridades.
