¿Cómo comportarse en caso de violación de datos?
¿Cómo comportarse en caso de violación de datos?
En primer lugar, no entres en pánico y asegúrate siempre de tener tu toalla contigo.
Finalmente sucedió. Hubo una falla en su sistema y alguien la aprovechó para llevar a cabo lo que, en la jerga, se llama un Violacíon de datos. Una violación de datos personales. No te preocupes, no es un fenómeno inusual. Los más afortunados se topan con esta eventualidad menos de una vez al año, pero en un mundo que evoluciona tan rápido como internet puede ocurrir que esta eventualidad se vuelva mucho más frecuente. Mientras trata de no entrar en pánico, lo alentamos a que se ciña a la regla general: para manejar una infracción, debe seguir las indicaciones del Reglamento Europeo 16/679 (GDPR) que ofrece orientación sobre qué hacer si ocurre una violación de datos.
¿Qué es una violación de datos?
Las violaciones de datos personales son de 6 tipos, y cada uno de estos puede ser voluntario o accidental basado en por qué ocurrió:
- Acceso no autorizado. Alguien no podía tener acceso a cierta información, pero lo tenían. En caso de que haya sido un error, es posible que haya enviado un documento importante a una persona en lugar de a otra. Fue un accidente, pero sigue siendo una violación de datos. Sin embargo, en el caso de que haya realizado un acceso no autorizado a los datos de alguien, este evento puede volverse spionaggio.
- Copia no autorizada. Alguien tomó algunos datos que no les pertenecían y los copió para ellos mismos. Esto podría ser un accidente si un compañero de trabajo decidiera imprimir un documento que no debería tener para compilar mejor un documento de trabajo. En caso de copia voluntaria para objetivos menos claros, podría ser robo.
- Divulgación inesperada. Alguien filtra accidentalmente datos que no deberían estar en línea por ningún motivo. Por ejemplo, se publica una foto de un cliente importante en el perfil de Facebook de la empresa. En caso de fraude, esta operación se denomina difusión.
- Modificación no autorizada. Alguien cambió algunos datos, aunque no pudo hacerlo. Si sucedió por error, esto es todo. De lo contrario podría ser manumisión por un hacker o un atacante.
- Pérdida de acceso. Alguien pierde información y ya no está disponible. Olvidar la contraseña de su computadora es una violación, ¿lo sabía? Y en caso de que se haya hecho a propósito, se convierte en cifrado.
- Borrado de datos. Alguien elimina datos confidenciales. Si esto sucedió por error, es una violación. Pero en caso de que la cancelación sea voluntaria, incurre en el destrucción de datos.
Violación de datos personales: ¿cómo comportarse?
Consulte los artículos 33 y 34 del RGPD. Estos dos artículos hacen referencia al reglamento europeo que pretende indicar los procedimientos a seguir en caso de violación de datos. El artículo 33 se refiere a la gestión interna de la empresa y las relaciones con el Garante, mientras que el artículo 34 se refiere a la gestión con los interesados, o las personas cuyos datos personales tengamos.
Es fundamental especificar que la violación de datos siempre debe ser registrada e, en su caso, notificado al Garante como lo establece el artículo 33. También dice que en caso de violación, el controlador de datos debe notificar a las autoridades de control dentro de las 72 horas siguientes a su conocimiento, especialmente si esto presenta un riesgo para los derechos y libertades de las personas físicas. Los encargados del tratamiento (empresa de nóminas, contable, analistas de sistemas…) deberán comunicarlo al responsable del tratamiento.
Si decide notificar al Garante, necesita información: naturaleza de la violación, cantidad de personas involucradas, datos del contrato del oficial de protección de datos, posibles consecuencias de la violación y cualquier medida tomada o por tomar.
Sin embargo, la empresa tiene la obligación de comunicar todo lo que sucede, independientemente de si las violaciones son intencionales o no intencionales, y asumen la responsabilidad (accountability).
¿La responsabilidad?
La compañía debe ser responsable, competente y consciente de lo que está sucediendo en sus entornos y sistemas. La empresa debe demostrar su capacidad para resolver el problema de manera proactiva y demostrar que tiene las herramientas para detener las consecuencias de la violación de datos. Esto se hace proporcionando evidencia y datos, y ofreciéndole al Garante la certeza de que lo que sucedió nunca volverá a suceder. En caso de falta de "rendición de cuentas", se incurre en una multa.
¿Cuáles son las infracciones a comunicar al Garante?
Sólo se comunican al Garante las infracciones voluntarias y no accidentales. El responsable del tratamiento debe decidir si notifica o no, en la lógica de la rendición de cuentas, si la violación de datos puede causar lesión de los derechos y libertades de las personas. L'ENISA (La Agencia de la Unión Europea para la Ciberseguridad) ha creado una metodologia para el calculo del riesgo sobre la libertad de las personas frente a una infracción. Esta metodología también se puede aplicar en la empresa.
¿Cómo saber si ha habido una infracción?
La violación debe entenderse verdaderamente detectada. Esto es factible si existe una formación adecuada en la empresa para estimar el riesgo y comprender cualquier daño. En pocas palabras, no necesita un ingeniero que entre en escena durante dos meses en un intento de estimar los posibles daños de una memoria USB extraviada: necesita un curso de capacitación que ayude al personal disponible a comprender el alcance del daño sin agregar a los costes de gestión ya importantes. En pocas palabras, el personal debe estar capacitado en lo que implica una infracción y en comunicar el procedimiento a los interesados de manera oportuna.
El artículo 34 nos dice que el responsable del tratamiento no podrá comunicar la infracción al interesado Cuando:
- Se implementan medidas técnicas y organizativas adecuadas, pero con una notificación al Garante y prueba de responsabilidad.
- Ha adoptado medidas para evitar un alto riesgo de violación de datos.
- La divulgación puede omitirse si requiere un esfuerzo desproporcionado; en este caso, ¡debe declararse públicamente!
Las violaciones de datos ocurren. Pero, ¿cómo crees que puedes manejarlo?
También te puede interesar:
“El paciente en el centro”: una gran esperanza y una reunión en el Senado
El tema de la importancia de la innovación en productos sanitarios para la sanidad europea será abordado el 15 de mayo en Roma por expertos y políticos
Cuatro países, un océano gigantesco: el caso CMAR
Es el corredor marino del Pacífico tropical oriental: Panamá, Ecuador, Colombia y Costa Rica aliados para la protección de los mares y las especies marinas...
Lausana, tras la pista de la contaminación: la historia de una incineradora
Un equipo de científicos ha reconstruido los acontecimientos de la central de valorización energética de Vallon y la contaminación invisible que conmocionó al cantón de Vaud
Cómo el medio ambiente determina las características del queso
La cata destaca cómo, sin cambiar las reglas de producción, el clima y los cultivos forrajeros influyen en las diferentes notas organolépticas.
//