En la Ley 1581 de 2012, en sus artículos 17 y 18 quedó un deber para responsables y encargados del tratamiento de datos personales: “Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.”. Este deber es poco conocido en el ámbito empresarial y es una obligación que tiene serias implicaciones legales, técnicas y reputacionales para cualquier organización como veremos más adelante.
Reportar incidentes de seguridad, una deber más allá de lo legal
En el mundo se presentan a diario un sin número de incidentes que pueden tener un impacto en la seguridad de la información. Cada vez es más frecuente encontrar en noticias que algún gobierno o empresa fue objeto de cibercriminales o grupos de activistas que buscan robar información o simplemente generar daños a la misma. Recientemente escuchamos por ejemplo el caso de Facebook y su problema con la compañía Cambridge Analytica, en el que millones de datos de usuarios de la red social fueron utilizados para fines no autorizados. El gigante de Internet, con su creador Mark Zuckerberg a la cabeza, no tuvo más remedio que aceptar su error en el manejo del incidente y esto tuvo consecuencias importantes en la confianza de sus usuarios y por consiguiente en su valor de mercado.
De esta manera, vemos que los incidentes de seguridad hoy en día tienen consecuencias que van mucho más allá de la recuperación técnica de los sistemas afectados. Sin embargo, en el desarrollo de nuestra actividad profesional, vemos que las organizaciones siguen pensando que la seguridad de la información es un problema de “otros” y que cuando sucede algún tipo de incidente, es el de ‘sistemas’ el que debe hacer algo. En muchos casos, esta falsa creencia impide a las organizaciones prepararse adecuadamente para atender un evento de este tipo, veamos por qué.
Lo primero que las organizaciones tienen que tener claro es ¿qué es un incidente de seguridad o como dice la ley en Colombia una violación a los códigos de seguridad? La ley colombiana no es muy clara al respecto por ahora, pero podríamos tomar como referencia lo que dice el nuevo reglamento de datos europeo en su artículo 4.
Violación de datos personales (Traducción de ‘personal data breach’): Significa una violación de seguridad que pueda llevar a la destrucción accidental o ilegítima, a la pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenado o de otra forma procesados.
Como vemos esta definición puede incluir desde el robo del celular del gerente, la pérdida del computador del contador o hasta la pérdida de las planillas en las que se recogieron los datos personales de los asistentes a un evento. Y pese a que esta definición es bastante amplia, muchas organizaciones consideran que es un problema solo de ingenieros o de abogados.
Lo segundo es que las organizaciones no tienen mecanismos de respuesta a incidentes implementados. Sobre todo, no existen guías o procedimientos conocidos por las diferentes áreas para saber qué hacer antes, durante y después de un evento de este tipo. No se sabe, quién va a ejercer el liderazgo en estas situaciones y de quién es la responsabilidad de dirigir una adecuada respuesta. Menos aún, existe una articulación entre áreas con roles y responsabilidades concretas, incluyendo un plan de comunicaciones, una respuesta técnica, una evaluación del riesgo legal y una estrategia de gestión de riesgos.
Lo tercero y retomando lo que mencionamos para iniciar este escrito, es que existe un deber legal de reportar este tipo de incidentes y se tiene un plazo máximo de 15 días para informar a la autoridad de protección de datos (Circular 002 de 2015 Numeral 2.1.g.ii). Esta es una obligación que no debe tomarse a la ligera pues requiere de un esfuerzo adicional y de una preparación adecuada al interior de las organizaciones, además de que puede acarrear sanciones legales. Se debe exponer a la autoridad con detalle, lo que sucedió, la información que resultó expuesta, lo que se hizo para remediar o minimizar la afectación y las medidas implementadas para prevenir este tipo de incidentes a futuro.
Creemos que aún nos falta mucho camino por recorrer para lograr que nuestras organizaciones estén preparadas para la economía digital y el nuevo panorama de riesgos que presenta. Consideramos importante la labor educativa de la SIC como autoridad de protección de datos, para que las organizaciones entiendan lo que tienen que hacer y que sus obligaciones van más allá de llenar formularios en el Registro Nacional de Bases de Datos. Es un desafío que nos corresponde a todos superar y vemos que se han hecho esfuerzos importantes desde la academia (Aplausos al GECTI), el sector privado y las entidades del estado para promover espacios en los que podamos debatir estos temas.
El tiempo nos irá mostrando el camino a seguir, tenemos que estar dispuestos a aceptar el cambio y a invertir recursos en prepararnos.