Los incidentes de seguridad ya no son escenarios de ciencia ficción: son una realidad irrefutable y en permanente aumento. Empresas, gobiernos e individuos están cada vez más expuestos a ataques sofisticados que comprometen datos sensibles; esto es, que dan lugar a los llamados leaks o fugas de información, o, para expresarlo en términos técnicos, se traducen en la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos.
¿Cómo deben responder las empresas los llamados incidentes de seguridad? Como todo (o casi todo) en el mundo del derecho, cada caso tiene su peculiaridad y circunstancias.
Con todo, es posible trazar algunos lineamientos generales, casi de sentido común, que debieran ser de aplicación generalizada.
Así, sería de buena práctica disponer de un protocolo o manual que establezca los pasos a seguir. Cualesquiera sean esos pasos, la sola existencia de un manual de actuación es una medida de prudencia y precaución jurídica que ha de contribuir no sólo a enfrentar la situación sino también a mitigar posibles responsabilidades.
Constatada la existencia del incidente, sería de sentido común activar los protocolos internos para su pronta contención o mitigación. Usualmente se trata de despejar los hechos cuanto antes -es decir: esclarecer rápidamente qué ocurrió-, qué datos se vieron afectados y cuál es el alcance del daño, para adoptar las medidas necesarias que permitan minimizar el impacto de dichos incidentes dentro de las primeras 24 horas de constatados.
Dentro de las 72 horas, el responsable del tratamiento debe comunicar el incidente a la Unidad Reguladora y de Control de Datos Personales (“URCDP”), detallando la fecha del hecho, los datos comprometidos y los posibles efectos. Si los derechos de los titulares de los datos -lo que en inglés se llama data subject– se ven significativamente afectados, es obligatorio informarles de forma clara y accesible a todos y cada uno de ellos, de preferencia de manera individualizada, y en su defecto a través de comunicados de prensa.
Por fin, una vez solucionado el incidente, debe elaborarse un informe detallado que documente lo sucedido y las medidas adoptadas; ello no sólo es de buena práctica, sino que también contribuye al aprendizaje de la propia organización, además de constituir un respaldo de singular significado ante posibles auditorías.
Bergstein cuenta con un equipo especializado que pone al alcance de sus clientes más de 20 años de experiencia en el tema.
____________________
La presente comunicación tiene carácter puramente informativo. No puede ni debe ser entendida como un consejo legal de esta firma. Bergstein cuenta con un equipo de especialistas que puede ser contactado para asistirlo en esta materia. Por cualquier consulta en relación al presente material, sírvase dirigirse al Dr. Ignacio Torres Negreira (itorresnegeira@