jueves, 14 de noviembre de 2013

Notifiación de violación de datos personales: ¿A favor o en contra?

El borrador del Reglamento General de Protección de Datos introduce el concepto de "violación de datos personales", que se define como "toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma". En el capítulo dedicado a la seguridad de los datos, se establece la obligación de notificar las violaciones de datos a las autoridades de control en el plazo de 24 horas. Tal previsión ha despertado cierta polémica entre consultores lopedé, responsables de seguridad y futuros DPO. No obstante, no podemos olvidar que es similar a la obligación impuesta por la directiva de E-Privacidad para las empresa que facilitan servicios de comunicaciones electrónicas (o algo así, no esperen que me levante a buscar la cita), y que se trata de una práctica común en otros, donde se considera una medida de transparencia necesaria para ayudar a minimizar riesgos. Veamos un ejemplo práctico.

Estos días, la prensa irlandesa se está haciendo eco de un incidente de seguridad que afecta a la sociedad Loyaltybuild, empresa especializada en gestionar programas de fidelización de clientes para grandes compañías europeas (como SuperValu o Axa). Al parecer, el pasado 4 de noviembre fue víctima de un ataque informático con el objetivo de robar datos de tarjetas bancarias de los clientes de estas compañías. Resultado del mismo, la información bancaria de 500.000 personas ha quedado expuesta.

La Autoridad irlandesa ha publicado una guía para ayudar a los responsables de ficheros a gestionar estos incidentes de seguridad (ojo, no a las entidades que quedan sometidas a la normas de la Directiva de E-Privacidad). Pueden consultar el documento aquí. Si bien se indica que no existe una obligación legal de notificar a la Agencia cuándo se ha producido un robo o pérdida de datos, sí se señala como práctica recomendable en determinados supuestos especialmente graves. En estos casos, se considera conveniente también realizar comunicaciones individuales a los afectados.

Por lo que he podido leer en los periódicos, Loyaltybuild ha comunicado a la Autoridad el ataque sufrido en sus sistemas, y se está cooperando con ella en la investigación del incidente. La autoridad ya ha publicado en su web varios comunicados sobre este tema. En uno de ellos, recuerda la importancia de informar a los afectados que sus datos bancarios han sido robados para que tomen medidas apropiadas (en concreto, se les recomienda que verifiquen con sus entidades bancarias si se han producido transacciones no autorizadas en sus cuentas). Por su parte, Loyaltybuild, ha pubicado en su web una carta abierta de su Director General, así como diversas notas sobre el incidente, en las que se incluyen teléfonos de contacto para clientes y para medios de comunicación.

Todo apunta a que, con la aprobación del nuevo reglamento, los DPO o los responsables de protección de datos deberán estar preparados para gestionar situaciones como ésta. ¿Se ha planteado Usted qué haría en tal supuesto, cómo se pondría en contacto con Monsieur le Directeur o con los afectados, qué nota o carta haría llegar, en su caso, a los medios para explicar lo sucedido?

2 comentarios:

David González Calleja dijo...

¿Y bien? ¿A favor o en contra?

Ad Edictum dijo...

Yo estoy muy a favor, en casos como el de la noticia que comento. Si, por ejemplo, mi banco a perdido un portátil con todos mis datos bancarios, me gustaría saberlo, y también otras cosas: Cómo se ha perdido, qué riesgos hay para mi, qué medidas me recomiendan tomar y qué medidas correctoras van a adoptar ellos. Por supuesto,también quiero que lo comuniquen a Monsieur le Directeur, en quien confío plenamente.