Incidentes de seguridad
Guía para la gestión de incidentes de seguridad en el tratamiento de datos personales
Aquí te contamos algunos aspectos relevantes:
Los incidentes de seguridad se caracterizan por afectar la confidencialidad, integridad y confidencialidad de la información.
Es de resaltar que existen incidentes que solo afectan una de las anteriores características de la información o pueden afectar varias de estas; además, la compañía deberá establecer un procedimiento para contener y mitigar incidentes de seguridad, igualmente deberá contar con procesos de monitoreo sobre las acciones implementadas sobre los incidentes de seguridad.
Causas:
De acuerdo a la SIC en su Guía sobre incidentes de seguridad, estos pueden generarse entre otros, por:
- “(…) Inexistencia de políticas preventivas de seguridad
- Errores o negligencia humana.
- Casos fortuitos.
- Actos maliciosos o criminales.
- Fallas en los sistemas de la organización.
- Procedimientos defectuosos.
- Deficiencias o defectos en las operaciones.
- Alteración; destrucción; robo o pérdida de archivos físicos.
El Responsable como Encargado de la información deberá “Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares”
Deberán reportar ante el RNBD el incidente de seguridad a más tardar dentro los 15 días hábiles siguientes al momento en detectarse el incidente.
Información importante en incidentes de seguridad
Los Responsables y Encargados del tratamiento deben conservar la información con medidas de seguridad apropiadas al nivel de sensibilidad de la información y a su tamaño y estructura para “impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;”
La seguridad de la información con carácter preventivo
La seguridad es considerada como un principio y a la vez un deber, por lo cual los Responsables y Encargados del tratamiento deben contar con mecanismos de prevención frente a los Incidentes de Seguridad, sin embargo, si en dado caso la compañía se ve inmersa en un incidente de seguridad en el que se generen vulneraciones a la información debe contar con un plan de contingencia documentado y de igual manera , el equipo encontrarse capacitado para afrontarlos y así mitigar los riesgos y daños reputacionales a la compañía.
Incidentes de seguridad con los Encargados del Tratamiento de la información
Al momento de su compañía (Responsable) requerir uno o más servicios a otra compañía y esta realizará una actividad que involucre Tratamiento de Datos Personales, deberá su compañía (Responsable) exigirle al Encargado el cumplimiento su Política de Tratamiento de Datos Personales y demás obligaciones legales para un correcto desarrollo del principio de Responsabilidad Demostrada (accountability).
Es de resaltar, que el Encargado va a actuar en nombre de su compañía frente a los Titulares de la información y ante las “autoridades por los errores o negligencia de ellos.”
IMPORTANTE: Se recomienda que al realizar contratos de Transmisión con los Encargados de la información se incluyan cláusulas relacionadas con la debida diligencia respecto al informar sin retraso alguno sobre la ocurrencia de un incidente de seguridad sobre los datos personales objeto del contrato de Transmisión.
Todo esto con el n iniciar todas las medidas dispuestas para contener, mitigar y evitar posibles daños sobre los datos personales dados en encargo por el Responsable del tratamiento.
Comments are closed.
Desarrollado por Connexxio Media