Handling GDPR Authorities After a Breach

Violación a la seguridad

Cómo manejar a las autoridades de la RGPD después de

Cómo manejar a las autoridades de la RGPD después de una violación a la seguridad

A pesar de haberse implementado en 2018, no es común que las organizaciones incumplan los lineamientos establecidos por la Regulación General de Protección de Datos (RGPD). De hecho, cientos de organizaciones no han podido contribuir con los $126 millones en multas durante 2020. Hemos visto un aumento en el número y tamaño de multas y en relación a esto, también hemos visto un foco mayor de privacidad de datos dentro de las organizaciones.

La RGPD afecta a casi todas las organizaciones que realizan negocios en Europa. El alcance de la RGPD es muy claro: cualquier entidad, que recopile o procese datos personales de los residentes de la UE debe cumplir con la RGPD. Recopilar o procesar datos fuera de la UE no le exime de la RGPD ya que todavía podría procesar datos personales de los residentes de la UE.

Según la RGPD, necesita implementar las medidas técnicas y organizativas adecuadas (TOMS, en inglés) para proteger los datos personales dentro de su organización, pero esto no puede evitar por completo que ocurra una violación a los datos. Las normas de las RGPD toman las violaciones a los datos con mucha seriedad. Si no reporta adecuadamente una violación a los datos, su empresa podría enfrentar multas, dependiendo de la gravedad de su infracción.

Por lo tanto, debe saber cómo tratar con las autoridades inmediatamente después de una violación o ataque a sus datos. Veamos detenidamente cómo controlar a las autoridades de la RGPR después de experimentar un incidente de seguridad cibernética.

Conozca sus funciones

Antes de que pueda comprender cómo interactuar con las autoridades de la RGPR, primero debe conocer las funciones y responsabilidades que se recomiendan según la RGPD. Veamos:

Contralor

El contralor de una organización es la persona o entidad legal que determina el fin y los medios detrás del procesamiento de datos personales. En algunos casos, las organizaciones tienen contralores de datos conjuntos, en donde dos o más contralores determinan el fin y los medios de los mismos datos para el mismo fin. Sobre todo, la mayor responsabilidad del contralor es responsabilizar a la organización y asegurarse que cumpla con la RGPD.

Procesador

El procesador es la persona, o entidad lega, que procesa los datos personales en nombre del contralor. La responsabilidad principal del procesador es garantizar que las condiciones especificadas en el Contrato de Procesamiento de Datos siempre se cumplan. Esto también requiere que las responsabilidades indicadas en la RGPR se cumplan.

Responsable de la Protección de Datos

El Responsable de la Protección de Datos (RPD) es otra función que requiere la RGPD. El RPD debe supervisar el enfoque inicial, la estrategia general y la implementación de las iniciativas de protección de datos. La responsabilidad principal del RPD es garantizar el cumplimiento de la RGPD y aconsejar a la organización sobre cómo permanecer dentro de las normas. Las compañías pueden elegir la contratación externa del RPD de una compañía de servicios de privacidad externa. Pueden existir muchas razones para elegir un RPD interno o externo.

Autoridad supervisora

La Autoridad supervisora, o algunas veces conocida como Autoridad Protectora de Datos, es esencialmente una autoridad pública en un país europeo que es responsable de controlar el cumplimiento de la RGPD. La función principal de la Autoridad supervisora es asesorar a las organizaciones sobre la RGPD, realizar auditoría sobre el cumplimiento de la RGPD, resolver las quejas y emitir multas si no se ha cumplido con los requerimientos de la RGPD. Puede encontrar información general sobre todas las Autoridades aquí.

En caso de un ataque

Ahora, consideremos un escenario: su organización ha contratado los servicios de una firma para que le ayude a manejar los datos de los clientes de una manera que cumpla con la RGPD. Su organización s la contralora y la firma de servicios de IT es el procesador.

A medida que la firma de IT archiva y almacena los datos del cliente, experimentan una violación a los datos de un origen desconocido. Ahora, todos los datos personales que le confió a esa firma están abiertos y en riesgo de acceso ilegal. Afortunadamente, ya que la firma de IT es bastante respetable y conoce los lineamientos de la RGPD, inmediatamente notifica a su organización y a las autoridades relacionadas sobre la violación.

Qué sucederá ahora

Una vez revele las malas noticias, lo primero que debe hacer es evaluar el riesgo relacionado. ¿A cuántas personas podría afectar esta violación y qué tan grave es? ¿Están en riesgo los derechos y libertades de las personas? La definición de los “derechos y libertades de las personas” puede ser un poco ambigua, así que la lectura 85 proporciona alguna aclaración al respecto.

Si todavía no está seguro, podría tomar esta autoevaluación creada por la Oficina del Comisionado de Información para que le ayude a tomar una decisión. Si considera que el riesgo es suficientemente grande, debe involucrar a las autoridades supervisoras y notificar a las personas en riesgo sin demora. Una situación de alto riesgo, en particular, significa que debe notificar a las personas en riesgo lo más pronto posible. Esto ayudará a que las personas afectadas tomen las medidas para protegerse a sí mismos.

Cuando reporte una violación, tiene que seguir las reglas cuidadosamente. Aunque experimentar un ataque es angustiante en todos los sentidos, debe seguir los lineamientos de la RGPD al pie de la letra. La RGPD requiere que las organizaciones tomen acción decisiva en un período corto de tiempo. Por lo tanto, es importante que su equipo de TI, de seguridad y legal trabajen juntos dentro de su organización y acuerden un proceso a seguir cuando ocurra una violación a los datos. Idealmente debería notificar a las autoridades de inmediato, pero tiene hasta 72 horas para reportarlo. Si toma más tiempo, tendrá que proporcionar a las autoridades una razón válida por la que se retrasó. Los contralores y procesadores deberían estar en constante comunicación con relación a su progreso para reportarlo y que ninguna de las partes exceda el límite de tiempo en caso de una violación.

Para reportar una violación usted debe llamar a la Autoridad supervisora en su área. Como mínimo, debería proporcionar lo siguiente cuando reporte una violación:

  • describa la naturaleza de la violación de los datos personales incluyendo, cuando sea posible, las categorías y número aproximado de datos afectados y las categorías y número aproximado de registros de datos personales afectados;
  • comunique el nombre y detalles de contacto del responsable de la protección de datos u otro punto de contacto en donde se puede obtener más información;
  • describa las posibles consecuencias de la violación a los datos personales;
  • describa las medidas tomadas o propuestas por el contralor para resolver la violación a los datos personales, incluyendo, si es apropiado, medidas para mitigar sus posibles efectos adversos.

Después de haber hablado con las autoridades, estas le ayudarán a identificar las siguientes acciones adecuadas que pueden variar ampliamente dependiendo de las circunstancias exactas de la violación. Pueden tomar acción reglamentaria, identificar las tendencias incidentales de seguridad de los datos o hasta compartirlo con las instancias legales y del crimen cibernético. Tenga presente que la honestidad siempre es la mejor política; si se retrasa o proporciona información incompleta, podría enfrentar multas considerables.

No siempre es fácil determinar los pasos correctos a tomar dentro del contexto de la RGPD; y es hasta más difícil tomar las acciones adecuadas después de una violación de datos confusa.

Una violación a los datos o un ataque cibernético puede destruir todos los filtros de su organización, pero al estar al día en las mejores prácticas para reportar una violación a las autoridades de la RGPD, podrá actuar rápidamente en caso de un incidente de seguridad cibernética. Esto no solo le permitirá mantener buena relación con las autoridades de la RGPD, sino le dará más tiempo para superar cualquier eventualidad que cause el ataque cibernético.

SoftwareONE puede ayudarle a mantener seguros sus datos (personales) con sus soluciones de seguridad. Sin embargo, no proporcionamos servicios legales relacionados con la RGPD.

La amenaza de los ataques cibernéticos siempre está en aumento

Nuestros servicios de seguridad controlada pueden ayudarle a proteger su organización contra una diversidad de amenazas cibernéticas mientras reduce un enfoque holístico a la seguridad cibernética.

Conozca más
  • Ciberseguridad, Seguridad Gestionada
  • GDPR, Ciberamenazas, Data Breaches

Comenta este artículo

¡Deja un comentario para hacernos saber lo que piensas sobre este tema!

Deja un comentario

Autor

Bala Sathunathan

Bala Sethunathan

Director, Security Practice & CISO

Cybersecurity

Artículos relacionados

cyber-security-update-august-2021
  • 15 septiembre 2021
  • Bala Sethunathan
  • Ciberseguridad, Seguridad Gestionada, Cyber Threat Bulletin, Cybersecurity User Awareness
  • Ciberamenazas, Secuestro de datos, Vulnerability Management

Seguridad cibernética Actualización de agosto de 2021

Accenture and Bangkok Airways sufren un Ataque LockBit Ransomware. Conozca por qué los ataques ransomware se han convertido en la forma favorita de atacar.

cyber-security-update-july-2021
  • 09 agosto 2021
  • Bala Sethunathan
  • Ciberseguridad, Seguridad Gestionada, Cyber Threat Bulletin, Cybersecurity User Awareness
  • Ciberamenazas, Riesgos de seguridad física

Noticias sobre ciberseguridad - Julio de 2021

Al menos una de cada tres de las vulneraciones de datos informadas involucra a una persona con información privilegiada. Los riesgos accidentales y maliciosos de la información privilegiada pueden costarles a las empresas el 20 % de sus…

End of Life Software is a Bad Idea

Por qué no es recomendable continuar utilizando software que ha llegado al fin de su vida útil

Es de suma importancia que las organizaciones comprendan cómo reducir los riesgos que plantea el software que ha llegado al final de su vida útil (End Of Life, EOL) y se preparen para actualizar las soluciones que se acercan a su fecha de…