Los 5 pasos de la gestión de la filtración de datos

¿Somos cada vez más conscientes de las violaciones de datos o están ocurriendo con más frecuencia? El International Business Times publicó un artículo que indica que Uno de cada tres estadounidenses sufrió una brecha en su historial médico en 2015, ya que los hackers siguen el dinero desde el comercio minorista hasta los datos médicos. Aunque los expertos en ciberseguridad tienen mucho trabajo para proteger los datos y educar a los empleados para ayudar a prevenir futuras violaciones, es fundamental que las empresas entiendan sus obligaciones cuando recogen, almacenan y procesan datos personales.

Las modernas leyes de privacidad de datos imponen obligaciones a las empresas que controlan y procesan datos personales. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) (Artículos 32-34) exige a los responsables del tratamiento que notifiquen a los reguladores y, en algunos casos, a las personas afectadas, en un plazo de 72 horas desde que tengan conocimiento de una violación de sus datos personales de la UE. Los procesadores de datos tienen una obligación similar de notificar a los controladores de datos afectados.

¿Cuáles son los 5 pasos de la gestión de la filtración de datos?

PASO 1: DETERMINAR SI LA EMPRESA TIENE LA OBLIGACIÓN DE NOTIFICAR UNA POSIBLE INFRACCIÓN

¿Se ha producido una infracción?
El RGPD define una violación de los datos personales como un fallo de seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo ("Violación"). 

Se ha producido un incumplimiento si se dan una o varias de las siguientes circunstancias: 

1. Destrucción: Los datos personales han sido destruidos o borrados de forma involuntaria o no intencionada
2. Daño: Los Datos Personales han sido erróneamente alterados, corrompidos o han dejado de estar completos
3. Pérdida: Los datos personales pueden seguir existiendo, pero la empresa ha perdido el control o el acceso a ellos, o ya no los tiene en su poder
4. Tratamiento no autorizado o ilegal: Los Datos Personales han sido revelados a, o accedidos por, destinatarios que no están autorizados a recibir o acceder a los datos o han sido tratados en violación del GDPR

A efectos de seguimiento, las infracciones pueden clasificarse de la siguiente manera:

1. Violación de la confidencialidad: Revelación no autorizada o accidental de datos personales o acceso a los mismos
2. Violación de la integridad: Alteración no autorizada o accidental de los datos personales
3. Incumplimiento de la disponibilidad: Pérdida de acceso o destrucción no autorizada o accidental de los datos personales 

En caso afirmativo, ¿se trata de datos personales?

Los datos personales se definen como cualquier información relativa a una persona física identificada o identificable. Una persona física identificable puede ser identificada, directa o indirectamente, y, por referencia a un identificador. Entre los ejemplos de información que pueden constituir Datos Personales, solos o combinados, se incluyen, entre otros, los siguientes

• Nombre
• Un número de identificación
• Datos de localización
• Fotografía
• Información genética o biométrica
• Presencia en las redes sociales
• Identificador en línea
• Dirección de correo electrónico 
• Fecha de nacimiento 
• Nombre de usuario 
• Contraseñas 
• Información de acceso 
• Número de teléfono personal 
• Fecha de nacimiento 
• Número de pasaporte
• Historial de empleo
• Dirección IP
• Nombre de soltera de la madre

Los datos personales son un concepto amplio y global, que incluye los datos tokenizados o seudonimizados si pueden atribuirse a una persona con el uso de información adicional. A la hora de considerar si los datos son datos personales, hay que tener en cuenta las tres preguntas siguientes: 

1. ¿Se utiliza o puede utilizarse la información para identificar a una persona física?
2. ¿Puede la información, si se combina con información adicional o se vincula a ella, utilizarse para identificar a una persona física?
3. ¿El método de tratamiento de la información permite identificar a una persona física?

En caso afirmativo, ¿se aplica el RGPD a los datos personales específicos potencialmente afectados por la violación?

1. ¿Está su empresa establecida (ubicada u operando) en el Reino Unido o en la UE?
2. ¿Los datos personales en cuestión son el resultado de que su empresa se sirva del mercado de la UE o de que controle el comportamiento de las personas en el Reino Unido o en la UE? 
3. ¿Los datos pertenecen a empleados, clientes o proveedores ubicados en el Reino Unido o la UE?

PASO 2: NOTIFICAR A LA AUTORIDAD DE CONTROL

Si está convencido de que la información contenida en el registro de Observación Inicial del Incidente merece ser notificada a una Autoridad de Supervisión, deberá notificarlo a la Autoridad de Supervisión correspondiente.

Si tiene conocimiento de una infracción pero necesita más tiempo para investigar a fondo y comprender su alcance, no debe retrasar la notificación inicial más allá del plazo de 72 horas, sino que debe proporcionar toda la información posible a la Autoridad de Supervisión y luego complementar la notificación inicial con más detalles cuando estén disponibles. Esto es lo que se conoce como una notificación de reserva.

Si se sabe muy poco, o se espera que se sepa muy poco, sobre la infracción antes de las 72 horas, debe proporcionar una notificación inicial a la Autoridad de Supervisión lo antes posible.

PASO 3: DETERMINAR SI LA EMPRESA ACTÚA COMO PROCESADOR O CONTROLADOR DE DATOS 

En caso de que se produzca una violación de los datos personales, es necesario determinar si la empresa es un controlador de datos o un procesador de datos, ya que cada uno conlleva obligaciones de notificación diferentes. 

Una empresa será responsable del tratamiento cuando recoja los datos personales de los interesados y determine la finalidad y los medios del tratamiento. 

Una empresa será un procesador de datos cuando trate los datos personales en nombre de un controlador de datos, bajo las instrucciones del controlador de datos.  

Su empresa habrá catalogado esta información como parte de sus Registros de Procesamiento (RoPA).

Procesadores de datos

Los procesadores de datos están obligados a notificar al responsable del tratamiento lo antes posible. Es posible que haya acordado procedimientos y plazos de notificación específicos. Debe determinar si tiene obligaciones contractuales específicas de notificación. Es probable que el responsable del tratamiento necesite más información sobre la violación. Deberá mantener al responsable del tratamiento al corriente de todas las actualizaciones. Recuerde que está obligado a proporcionar información adicional al responsable del tratamiento cuando éste lo solicite.

Controladores de datos

No todas las violaciones de datos personales dan lugar a la obligación de notificación a la autoridad de control o a los interesados. Los responsables del tratamiento deben determinar si la violación presenta un riesgo para los derechos y libertades de las personas físicas. El análisis del riesgo debe realizarse utilizando los criterios establecidos en la tabla que figura a continuación con respecto a las siguientes pruebas: 

1. La empresa debe notificar al Autoridad de Supervisión pertinentecuando la violación de los datos personales pueda suponer un riesgo para los derechos y libertades de las personas físicas 
2. La empresa debe notificar además personas afectadas sólo cuando la infracción pueda crear un alto riesgo para los derechos y libertades de las personas físicas

Como mínimo, el análisis de riesgos debe incluir las siguientes preguntas:

1. Si existe la posibilidad de que las personas se vean afectadas y 
2. Si ese impacto es alto 

Casi todo puede suponer un riesgo para los derechos y libertades de las personas físicas. La adición de un factor externo puede convertir un no riesgo en un riesgo. El estándar de riesgo que desencadena la obligación de notificación a la Autoridad de Supervisión es un listón relativamente bajo. Por el contrario, el estándar para el riesgo elevado que desencadena una notificación adicional a las personas afectadas, es un listón relativamente alto.

La probabilidad y la gravedad del riesgo para los derechos y las libertades del interesado deben determinarse en función de la naturaleza, el alcance, el contexto y los fines del tratamiento. La evaluación de riesgos, como mínimo, debe tener en cuenta los siguientes factores: 

1. El tipo de violación de datos personales
   Por ejemplo, una violación de la confidencialidad por la que se haya revelado información médica a personas no autorizadas puede tener consecuencias diferentes para una persona que una violación en la que se hayan perdido los datos médicos de la persona y ya no estén disponibles
2. La naturaleza y la sensibilidad de los datos personales
   Normalmente, cuanto más sensibles sean los datos, mayor será el riesgo de daño para las personas afectadas. Sin embargo, considere lo siguiente:
   1. El contextoEl nombre y la dirección de una persona no se consideran delicados, pero si el nombre y la dirección de un padre adoptivo se revelan a un padre biológico, las consecuencias podrían ser muy graves tanto para el padre adoptivo como para el niño.
      
      Por el contrario, otros datos personales que son claramente públicos pueden no constituir un riesgo probable para las personas en otros contextos
   2. Los posibles usos de los datos: Las filtraciones de datos personales que afectan a los datos sanitarios, los documentos de identidad o los datos financieros, como los de las tarjetas de crédito, pueden causar daños por sí solas, pero si se utilizan conjuntamente podrían usarse para el robo de identidad.
3. El volumen de datos personales
   Tenga en cuenta que una pequeña cantidad de Datos Personales altamente sensibles puede tener un alto impacto en un individuo; y una combinación de detalles puede revelar una mayor gama de información sobre ese individuo. Asimismo, una violación que afecte a grandes volúmenes de datos personales sobre muchas personas puede afectar a un gran número de personas.
4. Si se trata de "categorías especiales" de datos personales o de datos relativos a condenas e infracciones penales
   Se debe considerar que es probable que se produzcan daños cuando la violación de datos personales implique datos personales que revelen o incluyan:

1. Origen racial o étnico 
2. Opinión política
3. Religión o creencias filosóficas 
4. Afiliación sindical
5. Datos genéticos
6. Datos biométricos para la identificación única de una persona
7. Datos relativos a la salud o a la vida sexual
8. Condenas e infracciones penales o medidas de seguridad relacionadas
9. Facilidad de identificación de las personas utilizando los datos personales, o cotejando los datos con otra información
   Considera si, por ejemplo:
   1. La identificación podría ser posible directamente a partir de los datos personales violados sin necesidad de una investigación especial
   2. Sería extremadamente difícil relacionar los datos personales con una persona concreta, pero podría ser posible en determinadas condiciones
   3. La identificación puede ser posible indirectamente a partir de los datos violados, utilizando el contexto y/o los datos personales disponibles públicamente 

Hay que tener en cuenta que los datos seudonimizados pueden reducir la probabilidad de que los individuos sean identificados, pero por sí solas, las técnicas de seudonimización no se consideran que hagan los datos ininteligibles

6. Gravedad de las consecuencias para las personas 

Considere los siguientes criterios:

1. Tipo de consecuencia - Las consecuencias más graves son la usurpación de identidad o el fraude, los daños físicos, la angustia psicológica, la humillación o el daño a la reputación.
2. Permanencia de las consecuencias - El impacto puede considerarse mayor si los efectos son a largo plazo.
3. ¿Quién puede haber accedido a los datos personales?
   1. Si los datos personales están en manos de personas cuyas intenciones son desconocidas o posiblemente maliciosas, esto puede influir en el nivel de riesgo potencial
   2. El destinatario puede ser considerado "de confianza" (Por ejemplo(cuando los datos personales se envían accidentalmente al departamento equivocado de una organización, o a una organización proveedora de uso común)
      
      Incluso si se ha accedido a los datos, la empresa podría confiar en que el destinatario no realizará ninguna otra acción con ellos y devolverá los datos rápidamente. 

Nota: el hecho de que el destinatario sea de confianza puede erradicar la gravedad de las consecuencias de la violación de datos personales, pero no significa que no se haya producido una violación de datos personales. Por lo tanto, las obligaciones de registro seguirán siendo aplicables

8. Si son posibles las consecuencias negativas
   Las orientaciones normativas ofrecen varios ejemplos de violaciones que pueden o no dar lugar a una violación de datos personales notificable:
   
   1. Si se produce una violación de la confidencialidad de los datos cifrados (Por ejemplo., se pierde un dispositivo USB encriptado), es posible que esto no suponga un riesgo para las personas si el cifrado es de última generación y la clave de cifrado no se ha visto comprometida (es decir, los datos son en principio ininteligibles)
   2. Pueden surgir otros tipos de consecuencias negativas - por ejemplo, si la empresa no tiene copias de seguridad (o la empresa tiene copias de seguridad, pero no pueden ser restauradas a tiempo) y la información no es por tanto accesible de manera que pueda causar efectos negativos a los individuos
9. Características especiales del individuo
   Una violación de datos personales puede afectar a los datos personales de los niños u otras personas vulnerables, que pueden estar en mayor riesgo de peligro debido a sus características especiales
10. Características especiales de la empresa
    Las características especiales de la empresa también deben tenerse en cuenta a la hora de evaluar el riesgo. En la medida en que la empresa tenga características que puedan tener un impacto, éstas deben formar parte de la evaluación

Un ejemplo puede ser si la empresa participa en una "actividad de tratamiento arriesgada" que incluya, entre otras cosas, el uso de "nuevas tecnologías" para el tratamiento de datos, el tratamiento a gran escala (por ejemplo, regional, nacional, supranacional) o la evaluación sistemática y amplia del aspecto personal basada en el tratamiento automatizado en el que se basan las decisiones relativas a las personas

Si determina que existe un riesgo para los derechos y libertades de las personas físicas, notifíquelo a la Autoridad de Supervisión. Sin embargo, si determina que no hay riesgo para los derechos y libertades de las personas físicas, no hay obligación de notificarlo a la Autoridad de Supervisión. No obstante, le sugerimos que consulte a su asesor jurídico para confirmarlo.

PASO 4: SI LA EMPRESA ES UN CONTROLADOR DE DATOS, DETERMINAR SI EL RIESGO ES ALTO

Si determina que existe un riesgo para los derechos y libertades de las personas físicas, debe pasar a determinar si el riesgo es alto. 

Si determina que es probable que exista un riesgo elevado para los derechos y libertades de las personas físicas, además de notificarlo a la Autoridad de Supervisión, debe notificarlo a las personas afectadas. 

Debe considerar y sopesar los mismos factores descritos anteriormente, teniendo en cuenta el impacto potencial (gravedad, duración del impacto, etc.) que la violación de los datos personales podría tener en las personas afectadas. A continuación, considere si se aplica una exención. La obligación de notificar a las personas afectadas no se aplicará en ninguno de los casos que se indican a continuación. Sin embargo, las dificultades, el esfuerzo y/o los gastos por parte de la empresa no son excepciones y no son razones para retrasar la notificación. Le sugerimos encarecidamente que obtenga la aprobación legal antes de utilizar una excepción. 

Las excepciones disponibles son:

1. La empresa ha aplicado las medidas técnicas y organizativas adecuadas para proteger los datos personales antes de la violación de los datos personales, en particular las medidas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos
2. Inmediatamente después de una violación de datos personales, la empresa adoptó medidas para garantizar que ya no es probable que se materialice el alto riesgo que supone para los derechos y libertades de las personas
3. Supondría un esfuerzo desproporcionado contactar con las personas, quizás cuando sus datos de contacto se han perdido a causa de la violación de datos personales o no se conocen en primer lugar

Si determina que el riesgo probable para los derechos e individuos de las personas físicas es alto, y no existe una excepción, debe emitir una notificación a los individuos afectados, que debe incluir la siguiente información: 

1. Información sobre la naturaleza de la violación de los datos personales
2. El nombre y los datos de contacto del RPD o del delegado
3. Probables consecuencias de la violación de datos personales
4. Las medidas que la empresa ha adoptado o se propone adoptar para hacer frente a la violación de los datos personales, incluidas las medidas para mitigar sus posibles efectos adversos
5. En su caso, asesoramiento específico a las personas para protegerse de las posibles consecuencias adversas de la violación de los datos personales
6. Cualquier otra información relevante que la empresa considere oportuna

La Violación de Datos Personales debe ser comunicada a los individuos afectados directamente. La empresa puede decidir qué canales desea utilizar. El requisito es que la comunicación sea "transparente". Por ejemplo:

1. Correo electrónico, SMS, mensaje directo
2. Banners o notificaciones prominentes en el sitio web
3. Comunicaciones postales 
4. Anuncios destacados en la prensa escrita

Es poco probable que un mensaje limitado a un comunicado de prensa o a un blog corporativo se considere "transparente".

PASO 5: REGISTRAR LA VIOLACIÓN EN UN REGISTRO INTERNO DE VIOLACIÓN DE DATOS

Todas las violaciones de datos personales deben ser registradas independientemente de que la empresa determine que necesita notificar a las autoridades de control o a los individuos afectados. 

La empresa debe conservar los originales de todos los formularios relativos al incidente y guardarlos, o copias, junto con el registro.

Gestión de la violación de datos - Cómo puede ayudar el Grupo de Privacidad de Datos

El Grupo de protección de datos es un socio premium de OneTrust. Nuestro equipo de expertos cuenta con la acreditación CIPP/E y la certificación OneTrust Fellows of Privacy Technology. 

Podemos implementar y configurar el módulo de gestión de incidentes y violaciones de OneTrust, el motor de IA y el módulo de automatización de la evaluación para garantizar que se le guíe a través del proceso de evaluación, registro y notificación de las violaciones en cumplimiento de las leyes de privacidad de datos correspondientes a su jurisdicción. Nuestros servicios de gestión continua garantizarán que su programa de respuesta a las infracciones se mantenga siempre vigente, ajustando y actualizando el marco de trabajo a medida que su empresa cambie o que cambie la legislación.

Si necesita ayuda para gestionar la infracción, podemos proporcionarle expertos que han ayudado a muchas empresas a evaluar y gestionar las infracciones en tiempo real.

Podemos proporcionarle acceso a los cursos de formación sobre privacidad de datos de OneTrust o poner a prueba la preparación de su equipo de protección de datos mediante uno de nuestros complejos simulacros de infracción.

Sean cuales sean sus necesidades, estamos aquí para ayudarle.