La notificación de incumplimiento en ciberseguridad es cuando las organizaciones informan a las autoridades y afectados sobre una violación de seguridad que compromete datos personales. Es crucial para mitigar daños y proteger a los individuos.
El objetivo de la notificación de incumplimientos es:
1. Informar a las partes interesadas sobre riesgos a su privacidad y seguridad, permitiéndoles tomar medidas proactivas contra el robo de identidad o fraude.
2. Promover prácticas de protección de datos más responsables dentro de las organizaciones, incentivando una cultura de seguridad y medidas preventivas sólidas.
Cuando ocurre una brecha, la organización responsable de los datos debe evaluar rápidamente el alcance del incidente, determinar el riesgo para los derechos y libertades de las personas naturales y decidir si el incidente cumple con los criterios legales para una notificación. Si es así, deben reportarlo a la autoridad supervisora competente.
La información proporcionada en una notificación típicamente incluye detalles como el tipo de datos comprometidos, la cantidad de individuos afectados, las posibles consecuencias de la brecha, y las medidas tomadas o propuestas para abordar la violación y mitigar sus posibles impactos negativos.
ABC
Esquema de Flujo de Trabajo para Notificaciones de Incumplimientos
Fase 1: Evaluación del Incumplimiento
-
Confirmar y evaluar la naturaleza y alcance del incumplimiento de datos.
-
Evaluar el riesgo para los derechos de las personas y la sensibilidad de los datos comprometidos.
-
Determinar si se requiere notificar a autoridades y afectados, según la evaluación y legislación aplicable (e.g., GDPR).
Fase 2: Notificación a las Autoridades
-
Recopilar información sobre el incumplimiento, datos afectados, consecuencias, medidas mitigadoras y contactos
-
Notificar a la autoridad reguladora dentro del plazo legal (e.g., 72 horas según GDPR).
-
Estar disponible para proporcionar información adicional o asistencia a la autoridad reguladora.
Fase 3: Notificación a las Partes Afectadas
-
Identificar a los individuos afectados por el incumplimiento.
-
Crear un mensaje claro sobre el incumplimiento, sus efectos y medidas de protección.
-
Elegir el método más efectivo y seguro para notificar a las partes afectadas.
-
Proporcionar recursos para mitigar el impacto, como monitoreo de crédito gratuito
Fase 4: Comunicación Interna
-
Notificar al liderazgo sobre el incumplimiento, impacto y medidas tomadas.
-
Informar y coordinar con departamentos relevantes (legal, IT, RRHH, comunicaciones).
-
Mantener informado al liderazgo sobre desarrollos y respuestas, incluyendo feedback de autoridades y afectados.
Referencias
GDPR:
El GDPR impone una obligación rigurosa sobre las organizaciones para reportar ciertas violaciones de datos personales a la autoridad supervisora competente, normalmente dentro de las 72 horas después de haberse percatado del incidente. Si la violación es probable que resulte en un alto riesgo para los derechos y libertades de las personas naturales, también deben comunicarlo a los afectados sin demoras indebidas.
Las notificaciones deben incluir información como la naturaleza del incumplimiento de datos, las categorías y el número aproximado de personas afectadas, así como las consecuencias potenciales y las medidas propuestas o tomadas para abordar el incidente. Esta rápida respuesta no solo es una obligación legal, sino que también ayuda a mitigar los posibles daños que pueden surgir de tal incidente.
ENS:
En España, el ENS establece un conjunto de principios y requisitos para la seguridad de los sistemas de información de las administraciones públicas. Aunque el ENS no especifica un protocolo de notificación de brechas tan detallado como el GDPR, enfatiza la importancia de gestionar adecuadamente los incidentes de seguridad y garantizar la continuidad de los servicios públicos.
Las entidades que están bajo el ámbito del ENS deben implementar medidas para detectar, responder y recuperarse de incidentes de seguridad, asegurando que los impactos se minimicen y la información se restaure de manera oportuna.
Otros Requerimientos Legales en Europa:
Además del GDPR y el ENS, existen otros marcos legales en Europa que abordan la notificación de incumplimientos, como la Directiva NIS (Directiva de Seguridad de las Redes y de la Información), que se aplica a los operadores de servicios esenciales y los proveedores de servicios digitales, exigiendo que notifiquen incidentes de seguridad significativos a las autoridades competentes.
