Desde que se anunció por primera vez el Reglamento General de Protección de Datos (GDPR), las organizaciones se han visto inundadas de información sobre cómo protegerse contra las violaciones de datos. Pero, ¿qué hacer si realmente sucede uno?
El 22 de mayo de 2019, la Comisión Europea publicó una infografía sobre el cumplimiento y la aplicación del RGPD desde que entró en vigor en mayo de 2018, y está claro que aún queda mucho trabajo por hacer.
En el último mes, British Airways recibió una multa de 229.6 millones de dólares por no proteger los datos personales de las personas; al grupo hotelero Marriott International se le ha pedido que pague poco más de 124 millones de dólares, y a la agencia para verificar créditos Equifax se le impuso una multa de 700 millones de dólares.
Ya que el objetivo del GDPR es devolver a los ciudadanos el control de sus datos personales, las organizaciones deben aumentar las medidas de seguridad de los datos para cumplir, lo que puede incluir: emplear múltiples métodos de cifrado en el sitio y en la nube; garantizando una fuerte gestión de claves; y verificar la legitimidad de las identidades de los usuarios.
Pero, ¿qué debe hacer una organización si, a pesar de sus mejores esfuerzos, se produce una violación de datos? La empresa Gemalto sugiere lo siguiente:
- Conténgalo
Tan pronto como una organización sepa que se ha producido una violación de datos, debe tomar medidas para detener cualquier violación adicional de estos datos. - Informarlo
Cuando es probable que una violación suponga un riesgo para los derechos y libertades de los afectados, las organizaciones deben informarlo a la autoridad pertinente dentro de las 72 horas posteriores a su conocimiento. Debido a que una violación puede tener una variedad de efectos en las personas, incluyendo angustia emocional y daño físico y material, cada violación debe evaluarse caso por caso. - Reconocerlo
Si se considera que la violación conlleva un alto riesgo para los derechos y libertades de las personas, los afectados directamente deben ser informados lo antes posible, para que puedan tomar sus propias medidas para mitigar los efectos de la divulgación de sus datos personales. Según la Oficina del Comisionado de Información (ICO), “alto riesgo” significa que el umbral para informar a las personas afectadas es más alto que para notificar a las autoridades. - Explicarlo
Al informar una violación, las organizaciones deben proporcionar información sobre su naturaleza, que incluye:
Las categorías de la violación y el número de individuos y registros de datos personales en cuestión.
El nombre y los datos de contacto de una persona que puede proporcionar más información: esta es su oferta de protección de datos, si tiene una.
Un resumen de las posibles consecuencias.
Una descripción de las medidas ya tomadas o que deben tomarse para hacer frente a la violación.
5. Documentarlo
Incluso si una violación no necesita ser reportada, las organizaciones deben mantener un registro de cualquier violación que ocurra.
Al establecer procedimientos de detección, investigación e informes internos, y tener listas de verificación para la preparación y respuesta a las infracciones, las empresas tendrán la información necesaria para tomar decisiones sobre la presentación de informes, dentro y fuera de la organización, y podrán responder a una violación de datos como establecido por las regulaciones del GDPR.
