Desde la perspectiva del marco normativo para la Protección de Datos personales las organizaciones, ya sean responsables o encargadas de tratamiento de éstos, están obligadas a Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; no obstante lo anterior, bajo el principio de transparencia informar a la SIC no será suficiente, ello en virtud a se debe tener claro cuál fue el origen de la infracción, qué funcionarios se vieron involucrados en ella, qué aspectos técnicos y administrativos fueron relevantes para que aconteciera tal evento, y que tanto daño pudo éste causar a los Titulares. Una investigación entonces facilitará tener datos reales que permitan tomar medidas para mitigar las posibles consecuencias de las violaciones de la privacidad y para establecer planes de mejora y monitoreo permanente que eviten que el evento vuelva a acontecer.
Investigar un incidente entonces, además de puntualizar en las causas, implica revisar las políticas, protocolos y procedimientos internos relacionados con la protección de datos personales, y evaluar la efectividad de los programas de capacitación y sensibilización de los funcionarios. En ocasiones será adecuado contratar a un especialista en análisis forense para que realice verificaciones profundas a los equipos informáticos y a las bases de datos.
Este mismo especialista podrá entrevistar al personal humano que haya estado involucrado con el incidente con la finalidad de evidenciar errores y esclarecer si los empleados o contratistas fueron responsables del hecho. Su informe no solo permitirá apoyar la investigación desde una perspectiva independiente basada en la experiencia, sino que ayudará a que se identifiquen las causas reales de la violación de la privacidad y que se facilite la toma de medidas correctivas apropiadas, siendo este último un factor esencial, ya que usualmente después de un incidente hay cierto temor por adoptar medidas que eventualmente podrían fallar. Contratar un investigador tiene también otro beneficio: facilitarle a la organización visualizar el panorama legal que rodea la vulneración a la privacidad de los datos personales, asegurando que se cumplan con todos los requisitos de notificación e informes a los Titulares.
Por supuesto que la organización no es la única que realiza la investigación ya que la misma Superintendencia de Industria y Comercio no solo tiene poder para investigar las violaciones a la privacidad, sino que tiene capacidad para establecer multas y ordenar a las organizaciones que tomen medidas correctivas que subsanen el incidente, todo desde la perspectiva de los Titulares de los datos que posiblemente hayan sido afectados. Así entonces, contar con una investigación previa a la que practica la SIC, que tenga todas sus partes debidamente organizadas documentadas y analizadas, mostrará que existe proactividad y diligencia por parte de la organización, y un interés en buscar subsanar cualquier falla cometida.
En ocasiones la misma investigación de la organización puede facilitar la identificación de los actores que perpetraron la violación a la seguridad, situación que es favorable en sentido que se obtienen pruebas y se le ahorra trabajo tanto al ente regulador como a la fiscalía según aplique; pues el ente judicial solo participa si la violación a la privacidad es producto del cometimiento de un delito y no de un error.
En conclusión, la investigación de las violaciones a la privacidad es un esfuerzo compartido que debe liderar la organización responsable de los datos, facilitando con esto que las autoridades reguladoras y judiciales tengan toda las información necesaria para salvaguardar los derechos de los Titulares de la información personal. Si tu organización tuvo un caso de violación a la privacidad y necesitan responder a estas solicitudes, te recomendamos asesorarte de expertos en el tema, no olvides que en Data Protected contamos con la experiencia y conocimiento para atender estos casos, no dudes en contactarnos.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
PODRIAS HACER UNAS RECOMENDACIONES SOBRE EL USO DE CAMARAS Y LA POLITICA DE TRATAMIENTO DE DATOS EN PROPIEDAD HORIZONTAL?, HAY UNA RESIDENTE QUE TIENE UNAS CAMARAS INSTALADAS EN SU CASA QUE APUNTAN A LAS ZONAS COMUNES DE UN CONJUNTO CERRADO, SE PUEDEN VINCULAR A LA POLITICA DE TRATAMIENTO DE DATOS DEL CONJUNTO?
Gracias, claro que si podras consultar un articulo dando respuesta a tu solicitud muy pronto