Gestión de incidentes con impacto en la privacidad

· por

El nuevo Reglamento Europeo de Protección de Datos establece la obligación de reportar a la autoridad reguladora y en un plazo no superior a 72 a horas cualquier brecha de la seguridad que pueda tener potencialmente un impacto significativo en la privacidad de la información de las personas. Dependiendo de la gravedad del incidente, puede ser necesario y requerido por la autoridad reguladora que se contacte con los individuos afectados de cara a informarles de la situación, el posible impacto y ofrecerles el soporte necesario para ayudar a mitigar o eliminar el impacto.

Para cumplir con este requisito las organizaciones deben establecer procedimientos para la gestión de incidentes que impliquen un impacto en la privacidad. En este ámbito, un incidente es cualquier evento que supone una violación de la política de protección de datos de la organización y que puede afectar a la confidencialidad o integridad de los datos personales.

Cuando el incidente implica una pérdida severa de la confidencialidad de los datos personales, de modo que el uso ilegal de esta información cause o pueda causar un daño al individuo, como pueda ser la suplantación de identidad o una pérdida sustancial económica, entonces en este caso se habla de una brecha en la confidencialidad de los datos. Este tipo de incidentes, puede tener un impacto mediático y reputacional muy significativo y conllevar pérdidas considerables, no solamente en concepto de sanciones por parte de la autoridad reguladora, sino también por los costes de gestión del propio incidente y las posibles compensaciones para con los clientes u otros individuos afectados.

Independientemente del tipo de incidente, el procedimiento que la organización implemente debe establecer claramente los roles y responsabilidades. En particular, la gestión de una brecha en la confidencialidad de los datos personales implica la actuación coordinada de distintas áreas de la organización, desde los departamentos de seguridad informática, tecnología, asesoría legal, relaciones públicas y comunicación, departamento financiero, etc. Además, en estos casos es una buena práctica contar con asesoría externa por parte de empresas especializadas.

Si la organización ya dispone de planes generales de respuesta a incidentes y de gestión de crisis es conveniente integrar en ellos las especificidades relacionadas con brechas de confidencialidad.

La primera cuestión que debe ser contemplada, es la de poner a disposición de empleados, contratistas, clientes, etc mecanismos fáciles para poder reportar los incidentes. Puede tratarse de una linea telefónica dedicada o un buzón de correo electrónico. Lo esencial por un lado es que estos canales estén constantemente atendidos; que se haya dado la formación necesaria a los empleados y colaboradores para reconocer y reportar un incidente cierto o una sospecha de incidente y que se hayan acordado con las empresas colaboradoras (ej: encargados del tratamiento) procedimientos coordinados para la detección y reporte de los incidentes.

El responsable de protección de datos llevará un inventario y registro de todos los incidentes reportados con independencia de su naturaleza. Este registro se irá completando con toda la documentación posterior que se genere como consecuencia de la gestión del incidente; como puede ser informe técnico del mismo, denuncias cursadas, actas de reuniones en donde se evidencian las decisiones tomadas, registro del impacto económico del incidente, informe post-incidente, etc….

La información mínima que debería contener el reporte de un incidente es:

  • Identificación de la persona que reporta el incidente.
  • Medio de contacto de la persona que reporta el incidente.
  • Identificación de la persona que detectó el incidente.
  • Fecha, hora y lugar donde se detectó el incidente.
  • Descripción del incidente.
  • Descripción de la Información afectadas.
  • Indicación de los sistemas y/o soportes de información afectados.
  • Número de registros afectado.

La siguiente acción a llevar a cabo tras el reporte es la evaluación de la situación para determinar nivel de riesgo para la privacidad. En esta actividad deben participar tanto el responsable de protección de datos, como asesoría legal, seguridad informática y tecnología. El resultado de esta valoración tiene como primera consecuencia la clasificación del evento como una falsa alarma, como un incidente o como brecha de confidencialidad, en cuyo caso se debe activar el mecanismo de gestión de crisis.

Para la evaluación del impacto seguiremos el criterio descrito en la siguiente tabla, de tal manera que aquellas brechas de confidencialidad, cuyo impacto se estime que es alto o severo, deberán ser reportadas a la autoridad reguladora:

Cálculo del impacto de los eventos de riesgo

  • Inapreciable (1): Se seleccionará este valor cuando los individuos no sufren un impacto como consecuencia del evento o bien el impacto es inapreciable para él, no yendo más allá de pequeños inconvenientes sin mayor repercusión que pérdidas de tiempo e irritación del individuo.
  • Moderado (2): Se seleccionará este valor cuando el impacto en los individuos se traduce en inconvenientes de consideración para ellos que pueden ser sin embargo remediables tras algunas dificultades como acceso restringido a servicios, ansiedad por parte de la persona, costes adicionales, exposición no deseada de aspectos personales del individuo etc.
  • Alto (3): Se seleccionará este valor cuando el impacto se traduce en consecuencias significativas para el individuo que son remediables tras serias dificultades; como por ejemplo, robo de identidad del individuo, fraude de fondos al individuo, inclusión indebida del individuo en listas de morosos o listas negras de defraudadores, pérdida del puesto de trabajo, empeoramiento del estado de salud, daños a la propiedad.
  • Severo (4): Se seleccionará este valor cuando el impacto conlleva consecuencias en el individuo que pueden ser irreversibles, como pérdidas financieras o deudas severas, daños físicos o psicológicos a largo plazo, fallecimiento.

Como criterio adicional, siempre que el grado de identificación de la información sea significativo o alto y se trate de datos de salud, orientación sexual, filiación política o religiosa o datos biométricos, entonces el impacto de los eventos de riesgos se valorará, como mínimo, en la categoría alta (3).

En el caso de que se constate la brecha de confidencialidad, otras acciones que puede ser necesario llevar a cabo son:

  • Preparar el informe a la autoridad reguladora.
  • Empezar a definir la estrategia para contactar con los afectados.
  • Habilitar y dimensionar canales de atención a los afectados.
  • Diseñar los planes de compensación que puedan ser necesarios así como los potenciales mecanismos para ayudar a los afectados a mitigar el riesgo.

Cuando se trata de la gestión de un brecha de confidencialidad, uno de los aspectos esenciales es la gestión de la información que se difunde. Por ello, es imprescindible que toda comunicación sea centralizada y aprobada por el departamento de comunicación de la organización. En general, todo el mundo debe saber que no puede filtrar fuera de la organización (ni aún a familiares) ninguna información sobre el incidente, a menos que se esté expresamente autorizado y se haga a través de los canales oficiales.

En paralelo con estas acciones, se debe activar el procedimiento de respuesta ante incidentes de seguridad, liderado por los responsables técnicos y que tendrá por objeto:

  • Identificación y caracterización del incidente y el daño a nivel técnico.
  • Establecimiento de medidas de contención del daño (por ejemplo, desconectar de la red los sistemas infectados por malware).
  • Establecimiento de medidas de erradicación de la amenaza (por ejemplo, eliminación de malware de los sistemas afectados).
  • Establecimiento de las medidas que permitan recuperar la normalidad de las operaciones de la compañía.
  • Recabar y preservar toda evidencia siguiendo prácticas de informática forense de modo que se puedan tramitar las correspondientes denuncias.

Sea cual sea el tipo de incidente, tras el cierre del mismo, es importante que transcurrido un cierto tiempo se lleve acabo una análisis post-incidente que debe contemplar:

  • Análisis de las causas raíz.
  • Lecciones aprendidas.
  • Evaluación final del impacto financiero.
  • Implementación de mejoras en los procesos y procedimientos para evitar en lo posible le repetición de este tipo de incidentes.