¿Cuáles son los requerimientos legales en caso de que se produzca una brecha de datos personales? Al crear tu programa de privacidad debes realizar un estudio para identificar las leyes y los requisitos de notificación de infracciones que debes cumplir.
No te pierdas la primera parte: Respuesta a incidentes: Conceptos básicos
Ahora que estás familiarizado con los fundamentos de la respuesta a incidentes, vamos a ponernos al día con cuatro leyes de notificación de infracciones que debes tener en cuenta al elaborar tu plan de respuesta a incidentes.
Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE)
El RGPD de la UE define una brecha de datos personales como: “toda brecha de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;” – Artículo 4(12) del RGPD.
Cuando una brecha de datos personales afecta a la información de los interesados de la UE, el RGPD exige a los responsables del tratamiento que notifiquen a las autoridades de control y a los interesados afectados en un plazo de 72 horas y “sin demora indebida”. La ley también exige que el responsable del tratamiento, una empresa que determina la finalidad y los medios del tratamiento de los datos personales, documente los hechos, los efectos y la reparación asociados a la brecha.
Una notificación de brecha bajo el GDPR debe incluir:
- La naturaleza de la brecha, incluyendo cómo sucedió, cuántos sujetos de datos se vieron afectados, las categorías de datos personales involucradas y cuántos registros de datos personales se vieron involucrados
- La información de contacto del Delegado de Protección de Datos de la empresa
- Detalles del impacto de la brecha
- Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la brecha
Para facilitar la notificación, emplea las plantillas de notificación predefinidas para ahorrar tiempo en el cumplimiento de los requisitos de notificación.
Ley de Privacidad del Consumidor de California (CCPA)
Aunque técnicamente no forma parte de la CCPA, el artículo 1798.82 del Código Civil de California exige a las empresas que notifiquen una brecha de datos personales al Fiscal General de California y a los residentes de California afectados. La disposición sobre el derecho a la intimidad de la CCPA (artículo 1798.150) hace referencia a este requisito al explicar el derecho de los consumidores a iniciar una acción civil si su información personal es objeto de ciertos tipos de brecha de datos. Los consumidores pueden ejercer su derecho de acción en materia de privacidad si una brecha no ha sido curada por una empresa durante más de 30 días, incluye información personal no cifrada y no redactada y se produce como resultado de la falta de “procedimientos y prácticas de seguridad razonables” por parte de la organización.
Las notificaciones de brecha según la CCPA deben estar redactadas en un lenguaje sencillo y realizarse “sin demora injustificada”. Las notificaciones deben incluir
- Informe de qué ha sucedido
- Descripción de la información se ha visto afectada
- Qué se está haciendo para resolver la infracción
- Qué puede hacer el consumidor para proteger su información personal
- Datos de contacto para obtener más información sobre la infracción
Ley General de Protección de Datos de Brasil (LGPD)
La “Lei Geral de Proteção de Dados” o LGPD exige a los responsables del tratamiento que notifiquen a las autoridades brasileñas de protección de datos (ANPD) y a los interesados en caso de que se produzca una brecha de datos que implique un riesgo o un daño relevante para los interesados. A diferencia del RGPD, el plazo para las notificaciones en virtud de la LGPD no está bien definido. Sin embargo, se anima a las organizaciones a notificar los incidentes a las autoridades en un “tiempo razonable”.
Las notificaciones en virtud de la LGPD deben realizarse en un plazo razonable e incluir, como mínimo:
- La naturaleza de los datos personales afectados
- Información sobre los interesados afectados
- Indicación de las medidas técnicas y de seguridad utilizadas para la protección de los datos
- Cualquier riesgo relacionado con la brecha
- Los procesos adoptados para mitigar los efectos de la pérdida
- Motivos del retraso de la notificación
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
Si operas en Estados Unidos y almacenas información de pacientes, debes tener en cuenta esta ley.
En lo que respecta a la privacidad y seguridad de la información sanitaria, la norma de notificación de infracciones de la HIPAA exige a las empresas que notifiquen “todos los usos o divulgaciones no permitidos” de la información sanitaria protegida a las personas afectadas y que informen de la infracción sin demora injustificada y a más tardar 60 días después de descubrir la infracción. Dependiendo de si la infracción afecta a más de 500 personas, las empresas pueden tener la obligación de notificar las infracciones a las personas, así como a los medios de comunicación y al Secretario del Department of Health & Human Services de los Estados Unidos (HHS).
Por otra parte, un asociado comercial (es decir, un vendedor o proveedor de servicios) sólo debe notificar las brecha descubiertas de la información sanitaria protegida a las empresas. La notificación a los individuos afectados debe hacerse por correo postal o electrónico, y debe establecerse un número de teléfono gratuito durante 90 días para que los individuos puedan conocer allí más detalles sobre la brecha de sus datos.
Una notificación de brecha bajo la HIPAA debe incluir:
- Descripción de lo sucedido, incluyendo las fechas de la brecha y cómo se descubrió
- También descripción de la información sanitaria afectada, incluidas las categorías afectadas
- Breve descripción del modo en que la empresa está investigando y mitigando la brecha, y de las medidas aplicadas para protegerse contra nuevas brecha
- Las medidas que deben tomar los particulares para protegerse de posibles daños
- Datos de contacto e instrucciones para que los particulares puedan hacer preguntas o recibir más información sobre la brecha.
En general, muchos de los requisitos de notificación de brecha comparten similitudes. Sin embargo, como el panorama de las leyes globales de notificación de brecha de datos sigue evolucionando, sus empresas en crecimiento deben mantenerse al día con las nuevas y actualizadas leyes de notificación de brecha a medida que crecen y se expanden a nuevos territorios.
Lee la tercera parte de la serie sobre la respuesta incidentes: Plan de respuesta a incidentes
Otros recursos relacionados con la gestión y respuesta a incidentes:
- Primera parte del blog: Respuesta a incidentes: Conceptos básicos
- E-book: Guía de gestión de incidentes
- Grabación del webinar: Gestión de incidentes: Construyendo la confianza desde dentro
- Grabación del webinar: Construye tu guía de gestión de incidentes
Comparte este artículo
