Manejo de incidentes de seguridad bajo el régimen de protección de datos
José Miguel De la Calle
Socio de Garrigues
Se entiende por incidente de seguridad cualquier situación que implique la adulteración, pérdida, consulta, uso o acceso no autorizado a la información personal. Sus principales causas son: (i) errores humanos, (ii) actos maliciosos y (iii) caso fortuito.
Las afectaciones más comunes a los datos personales son de tres categorías: (i) confidencialidad. Comprende todos los casos en los que, por la acción de un hacker u otra conducta criminal o por efecto de un error de un empleado, un archivo con datos personales llega a manos de terceras personas que no tienen por qué conocer la información, esto es, que no están cubiertas por la autorización del titular. (ii) Integridad. El dato es alterado total o parcialmente, y se pierde su trazabilidad y confiabilidad. (iii) Disponibilidad. El acceso a un dato o a un conjunto de datos queda restringido para el titular o para otras personas con acceso autorizado, lo que afecta el ejercicio de derechos legítimos.
La Ley 1581 del 2012 y la Circular Única de la Superintendencia de Industria y Comercio (SIC) establecen en cabeza del responsable (la empresa que detenta el control de una base de datos) y del encargado (la empresa que gestiona información por cuenta del responsable) el deber de informar a la SIC sobre la ocurrencia de cualquier incidente de seguridad dentro de los 15 días siguientes a su ocurrencia. A su turno, la Circular Única agrega el deber de inscribir los incidentes en el Registro Nacional de Bases de Datos, obligación que recae no solo en cabeza de las empresas que están obligadas a mantener dicho registro, sino de cualquier compañía. La omisión de esas responsabilidades puede generar el pago de multas al Estado o de perjuicios a las víctimas.
La SIC expidió recientemente la Guía para la Gestión de Incidentes de Seguridad en la Gestión de Datos Personales, que contiene información valiosa sobre cómo deben comportarse las empresas para prevenir este tipo de situaciones y para mitigar su impacto cuando se presentan.
Esta guía recomienda a todas las empresas adoptar un protocolo para la gestión de incidentes de seguridad, el cual debe estar armonizado con el Plan Integral de Gestión de Datos Personales que surge a partir de la Guía para la Aplicación del Principio de Responsabilidad Demostrada. Tanto el protocolo como los contratos de trasmisión que se celebren entre los responsables y los encargados de la información deben fijar derroteros para documentar cualquier incidente, al menos con la siguiente información: la descripción del evento ocurrido, la categoría de los datos afectados, las medidas correctivas implementadas, el equipo encargado de atender el incidente, el reporte a la SIC y el reporte a los titulares, en caso de ser necesario.
A su vez, el protocolo de manejo debe prever la manera en que se realiza la evaluación del riesgo asociado al incidente, riesgo que debe clasificarse en bajo, medio, alto o grave. Entre los riesgos más comunes se encuentran: vulneración de la privacidad o buen nombre, riesgo a la seguridad física, riesgo de suplantación de identidad, pérdida de negocios u oportunidades, discriminación y riesgos sistémicos.
El empresario que se ve afectado por un incidente de seguridad no debe limitarse a gestionar las labores preventivas y reactivas a que hemos hecho alusión, sino que también debe ocuparse de documentar las lecciones aprendidas y realizar los cambios internos necesarios para que ese tipo de incidentes no se repitan. Así, si bien ninguna empresa está exenta de tener que enfrentar este tipo de situaciones, la carga de diligencia que le corresponde implica la obligación de hacer todo lo posible por evitarlas, lo que incluye el deber de mejorar continuamente sus sistemas de alerta y de seguridad, tomando como base, entre otras cosas, el aprendizaje de situaciones pasadas.
Opina, Comenta