Columnista Impreso
Buscar Columnista Impreso

Manejo de incidentes de seguridad bajo el régimen de protección de datos

51353

Compartir por ×

Correo electrónico
Manejo de incidentes de seguridad bajo el régimen de protección de datos

José Miguel De la Calle

Socio de Garrigues

 

Se entiende por incidente de seguridad cualquier situación que implique la adulteración, pérdida, consulta, uso o acceso no autorizado a la información personal. Sus principales causas son: (i) errores humanos, (ii) actos maliciosos y (iii) caso fortuito.

 

Las afectaciones más comunes a los datos personales son de tres categorías: (i) confidencialidad. Comprende todos los casos en los que, por la acción de un hacker u otra conducta criminal o por efecto de un error de un empleado, un archivo con datos personales llega a manos de terceras personas que no tienen por qué conocer la información, esto es, que no están cubiertas por la autorización del titular. (ii) Integridad. El dato es alterado total o parcialmente, y se pierde su trazabilidad y confiabilidad. (iii) Disponibilidad. El acceso a un dato o a un conjunto de datos queda restringido para el titular o para otras personas con acceso autorizado, lo que afecta el ejercicio de derechos legítimos.

 

La Ley 1581 del 2012 y la Circular Única de la Superintendencia de Industria y Comercio (SIC) establecen en cabeza del responsable (la empresa que detenta el control de una base de datos) y del encargado (la empresa que gestiona información por cuenta del responsable) el deber de informar a la SIC sobre la ocurrencia de cualquier incidente de seguridad dentro de los 15 días siguientes a su ocurrencia. A su turno, la Circular Única agrega el deber de inscribir los incidentes en el Registro Nacional de Bases de Datos, obligación que recae no solo en cabeza de las empresas que están obligadas a mantener dicho registro, sino de cualquier compañía. La omisión de esas responsabilidades puede generar el pago de multas al Estado o de perjuicios a las víctimas.

 

La SIC expidió recientemente la Guía para la Gestión de Incidentes de Seguridad en la Gestión de Datos Personales, que contiene información valiosa sobre cómo deben comportarse las empresas para prevenir este tipo de situaciones y para mitigar su impacto cuando se presentan.

 

Esta guía recomienda a todas las empresas adoptar un protocolo para la gestión de incidentes de seguridad, el cual debe estar armonizado con el Plan Integral de Gestión de Datos Personales que surge a partir de la Guía para la Aplicación del Principio de Responsabilidad Demostrada. Tanto el protocolo como los contratos de trasmisión que se celebren entre los responsables y los encargados de la información deben fijar derroteros para documentar cualquier incidente, al menos con la siguiente información: la descripción del evento ocurrido, la categoría de los datos afectados, las medidas correctivas implementadas, el equipo encargado de atender el incidente, el reporte a la SIC y el reporte a los titulares, en caso de ser necesario.

 

A su vez, el protocolo de manejo debe prever la manera en que se realiza la evaluación del riesgo asociado al incidente, riesgo que debe clasificarse en bajo, medio, alto o grave. Entre los riesgos más comunes se encuentran: vulneración de la privacidad o buen nombre, riesgo a la seguridad física, riesgo de suplantación de identidad, pérdida de negocios u oportunidades, discriminación y riesgos sistémicos.

 

El empresario que se ve afectado por un incidente de seguridad no debe limitarse a gestionar las labores preventivas y reactivas a que hemos hecho alusión, sino que también debe ocuparse de documentar las lecciones aprendidas y realizar los cambios internos necesarios para que ese tipo de incidentes no se repitan. Así, si bien ninguna empresa está exenta de tener que enfrentar este tipo de situaciones, la carga de diligencia que le corresponde implica la obligación de hacer todo lo posible por evitarlas, lo que incluye el deber de mejorar continuamente sus sistemas de alerta y de seguridad, tomando como base, entre otras cosas, el aprendizaje de situaciones pasadas.

 

Reciba nuestro

boletín de noticias

TOP 10 MÁS POPULAR

Visto 12920 veces
51803

Compartir por ×

Correo electrónico
Visto 11070 veces
51690

Compartir por ×

Correo electrónico
Visto 5394 veces
51684

Compartir por ×

Correo electrónico
Visto 4213 veces
51782

Compartir por ×

Correo electrónico
Visto 3470 veces
51768

Compartir por ×

Correo electrónico
Visto 3412 veces
51689

Compartir por ×

Correo electrónico
Visto 3148 veces
51725

Compartir por ×

Correo electrónico
Visto 2708 veces
51835

Compartir por ×

Correo electrónico
Visto 2383 veces
51787

Compartir por ×

Correo electrónico
Visto 2036 veces
51833

Compartir por ×

Correo electrónico
35758

Compartir por ×

Correo electrónico
Compartido 7784 veces
42823

Compartir por ×

Correo electrónico
44584

Compartir por ×

Correo electrónico
43707

Compartir por ×

Correo electrónico
Compartido 6506 veces
45924

Compartir por ×

Correo electrónico
Compartido 6174 veces
44932

Compartir por ×

Correo electrónico
46873

Compartir por ×

Correo electrónico
43907

Compartir por ×

Correo electrónico
44877

Compartir por ×

Correo electrónico
45801

Compartir por ×

Correo electrónico
13598

Compartir por ×

Correo electrónico
14244

Compartir por ×

Correo electrónico
Comentado 64 veces
13024

Compartir por ×

Correo electrónico
30523

Compartir por ×

Correo electrónico
14990

Compartir por ×

Correo electrónico
32930

Compartir por ×

Correo electrónico
33218

Compartir por ×

Correo electrónico
30977

Compartir por ×

Correo electrónico
12267

Compartir por ×

Correo electrónico
11832

Compartir por ×

Correo electrónico