Notificación de brechas - Informar sobre fugas de datos
Lectura de 2 min aprox.
La notificación de brechas (breach notification) es la obligación legal de notificar a las personas afectadas y a las autoridades de control dentro de un plazo determinado cuando se produce una filtración de datos. Impulsada por la entrada en vigor del RGPD (en 2018), esta obligación se ha extendido por todo el mundo, y aumentan los casos en que una notificación tardía o deficiente conlleva cuantiosas multas. Es un ámbito que exige no solo una respuesta técnica al incidente de seguridad, sino también un proceso de respuesta transversal a toda la organización que implique a las áreas jurídica, de comunicación y de dirección.
Antecedentes históricos
Se considera que la legislación sobre notificación de brechas comenzó con la SB-1386 de California en 2003, la primera del mundo. En aquel momento, el propio concepto de obligación de notificación era nuevo y muchas empresas se libraban de divulgar las filtraciones. Posteriormente, en 2018, el RGPD de la UE impuso la notificación a las autoridades en un plazo de 72 horas, convirtiendo la notificación de brechas en un requisito legal ineludible para las empresas globales. En Japón, asimismo, la reforma de 2022 de la Ley de Protección de la Información Personal hizo obligatorios el informe y la notificación de las filtraciones.
Comparación de los requisitos de notificación de las principales normativas
| Elemento | RGPD (UE) | Ley de Protección de la Información Personal (Japón) | CCPA/CPRA (California, EE. UU.) |
|---|---|---|---|
| Plazo para notificar a las autoridades | En un plazo de 72 horas desde el conocimiento | Informe preliminar: en 3 a 5 días / Informe definitivo: en 30 días | En un plazo razonable (sin límite de tiempo explícito) |
| Notificación al interesado | Sin demora indebida cuando hay alto riesgo | Obligación de notificar por regla general | Notificar sin demora |
| Filtraciones sujetas a notificación | Violaciones de datos personales en general | Información personal sensible, más de 1.000 personas, fines ilícitos, etc. | Información personal sin cifrar |
| Multa máxima | El 4 % de la facturación mundial o 20 millones de euros | Multa de hasta 100 millones de yenes por incumplir una orden | 7.500 USD por infracción (infracciones intencionadas) |
| Destinatario de la notificación | Autoridad de control (APD) | Comisión de Protección de la Información Personal | Fiscal General de California |
El cronograma de notificación y los datos obligatorios
La notificación debe incluir la siguiente información: la naturaleza de la brecha y los tipos de datos afectados, una estimación del número de personas afectadas, los riesgos e impactos previstos, las medidas adoptadas y el plan de respuesta futura, y los datos de contacto para consultas. Sin un marco de respuesta a incidentes bien establecido, reunir esta información en un plazo de 72 horas resulta extremadamente difícil.
Los riesgos de la notificación tardía
La notificación tardía no solo acarrea multas, sino que también daña la confianza corporativa de raíz. En el caso de British Airways de 2019, se impuso una multa de unos 20 millones de libras por una infracción del RGPD. Uber ocultó su filtración de 2016 durante más de un año y finalmente pagó un acuerdo de 148 millones de dólares. En Japón, asimismo, incumplir la obligación de notificación es objeto de orientación y recomendaciones administrativas, acompañado del riesgo reputacional derivado de la divulgación pública del nombre de la empresa. Desde la perspectiva del cumplimiento normativo, la preparación en tiempos normales es decisivamente importante.
Preparación práctica
«Realizamos simulacros de notificación de brechas dos veces al año. Al repetir el ejercicio de completar los documentos de notificación en un plazo de 72 horas durante un incidente simulado, hemos creado un marco que nos permite responder con calma incluso durante un incidente real.»
Los puntos prácticos son preparar plantillas de notificación con antelación, establecer un flujo de coordinación entre las áreas jurídica, de comunicación e informática, y realizar simulacros periódicos. Al conocer de forma rutinaria el alcance del tratamiento de la información personal, la identificación del alcance del impacto durante una filtración se vuelve más rápida. La visión general de la respuesta a incidentes se explica en la guía de respuesta a incidentes para particulares, y los procedimientos concretos cuando se produce una filtración se explican en la guía práctica de respuesta a filtraciones de datos.libros sobre respuesta a incidentes (Amazon) también ayudan a adquirir conocimientos prácticos.
Conceptos erróneos frecuentes
Algunas empresas creen que «si los datos están cifrados, no hace falta notificar», pero esto varía según la jurisdicción. Bajo la CCPA, solo las filtraciones de datos sin cifrar están sujetas a notificación, mientras que bajo el RGPD las violaciones de datos personales son notificables con independencia de si estaban cifrados. También existe el concepto erróneo de que «si la filtración es de pequeña escala, no es necesario notificar», pero bajo la Ley de Protección de la Información Personal de Japón surge la obligación de informar aunque se filtre un solo dato personal sensible. Para revisar tu configuración de privacidad, consulta también la guía de configuración de privacidad.
¿Te resultó útil este artículo?