GUÍA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

El presente boletín jurídico informa sobre la Guía para la Gestión de Incidentes de Seguridad expedida por la Superintendencia de Industria y Comercio.

Esta Guía tiene como propósito presentar algunas sugerencias a los Responsables y los Encargados del Tratamiento de Datos Personales, para que estos cuenten con un plan dirigido a afrontar los incidentes de seguridad que afecten los Datos Personales bajo su custodia o posesión.  De acuerdo con la Guía, la Gestión de los incidentes de seguridad debe tratarse desde: (i) el diseño de las actividades del tratamiento; (ii) el complemento de las políticas de seguridad de la información y protección de datos; y (iii) la ética corporativa de las empresas.

Marco Normativo

-Ley 1581 de 2012, artículos 17  y 18. -Capítulo II, Título V de la Circular Única de la Superintendencia de Industria y Comercio. Las organizaciones que están obligadas a inscribir las Bases de Datos Personales ante el Registro Nacional de Bases de Datos, así como los Responsables del Tratamiento no obligados a la inscripción, deberán reportar el incidente de seguridad dentro los 15 días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o el área encargada de atenderlos.

Encargados del Tratamiento

A efetos de la gestión de los incidentes de seguridad en los que existe un encargado del tratamiento, la Guía recomienda incluir en el contrato de transmisión:

  • Reporte de incidentes.
  • Protocolo de respuesta en el manejo de incidentes de seguridad.
  • Roles y responsabilidades.
  • Puntos o personas de contacto.
  • Procedimiento para el trámite de las consultas e inquietudes que puedan presentar los Titulares de la información.
  • Reporte de los incidentes de seguridad por parte de otros Encargados del Tratamiento, en caso de que se hayan hecho subencargos sobre cualquier operación del Tratamiento.
  • Cumplimiento de las políticas de Tratamiento de información (PTI) de la entidad.

Conservación de registros internos

  • Los registros internos sobre incidentes de seguridad que lleven los Responsables del Tratamiento debe incluir:
  • Una descripción general de las circunstancias del incidente de seguridad (incluidas las Bases de Datos y las clases de datos -sensibles, privados, etc.- comprometidos).
  • Las categorías de Titulares de la información afectados.
  • La fecha y hora del incidente de seguridad y del descubrimiento del mismo.
  • Las indagaciones preliminares e investigaciones realizadas por la organización.
  • Las medidas correctivas.
  • Los Responsables del manejo del incidente de seguridad.
  • La prueba del reporte efectuado ante la SIC, así como la comunicación realizada a los Titulares de la información, si fue necesario.
  • La evaluación del nivel de riesgo derivado del incidente de seguridad en los Titulares y los factores tenidos en cuenta.
  • La inclusión de detalles personales, cuando deban establecerse.

Protocolo de Respuesta

Las medidas de seguridad deben ser apropiadas considerando, entre otros, los siguientes factores: (i) los niveles de riesgo del Tratamiento para los derechos y libertades de los Titulares de los datos; (ii) la naturaleza de los datos; (iii) las posibles consecuencias que se derivarían de una vulneración para los Titulares, y la magnitud del daño que se puede causar a ellos, al Responsable y a la sociedad en general; (iv) el número de Titulares de los datos y la cantidad de información; (v) el tamaño de la organización; (vi) los recursos disponibles, (vii) el estado de la técnica, y (viii) el alcance, contexto y finalidades del Tratamiento de la información.

Todas las medidas de seguridad deben ser objeto de revisión, evaluación y mejora permanente.

Los incidentes de seguridad pueden generarse por diferentes razones como, entre otras:

• Inexistencia de políticas preventivas de seguridad.

• Errores o negligencia humana.

• Casos fortuitos.

• Actos maliciosos o criminales.

• Fallas en los sistemas de la organización.

• Procedimientos defectuosos.

• Deficiencias o defectos en las operaciones.

• Alteración; destrucción; robo o pérdida de archivos físicos.

El protocolo de respuesta debe ser documentado, implementado, comunicado al equipo humano de la organización y monitoreado.

Medidas preventivas para hacer frente a un incidente de seguridad

  1. Entrenar periódicamente al equipo humano de la organización para actuar frente al incidente de seguridad.
  2. Precisar exactamente cuándo se está ante un incidente de seguridad que afecte Datos Personales. No todas las fallas de seguridad necesariamente involucran la confidencialidad, integridad y disponibilidad de información de carácter personal.
  3. Definir las medidas y el procedimiento interno para el manejo de los incidentes de seguridad.

Pasos para responder a un incidente de seguridad:

  1. Contener el incidente de seguridad y hacer una evaluación preliminar;
  2. Evaluar los riesgos e impactos asociados con el incidente de seguridad;
  3. Identificar los daños para las personas, organizaciones y público en general.
  4. Notificar a la Superintendencia de Industria y Comercio.
  5. Comunicar a los Titulares de la información;
  6. Prevenir futuros incidentes de seguridad en Datos Personales.

Políticas para incrementar y mantener la confianza de los titulares de datos personales.

La Guía insta a los responsables del tratamiento a contar con Políticas para incrementar y mantener la confianza de los titulares de datos personales pues se ha sostenido que las actividades continuas de creación de confianza deben ser una de las prioridades estratégicas más importantes para cada organización.

La Guía podrá consultarse a través del siguiente enlace: https://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia_gestion_incidentes_dic21_2020.pdf

Leave a comment