Post on 20-Jan-2021
INCIDENTE DE SEGURIDAD EN 72 HORAS!
Notificaciones y la Seguridad de los Datos
Hugh Stevenson Director Adjunto,
Oficina de Asuntos Internacionales Comisión Federal de Comercio
Santa Marta, Colombia 7 junio 2018
Introducción a la FTC
• Una agencia independiente de desde hace >100 anos.
• Regula grandes franjas del sector comercial.
• La misión incluye la protección al consumidor; la privacidad es parte de esa misión.
Nuestras Herramientas
• Casos • Conferencias • Estudios & Informes • Materiales educativos • Iniciativas internacionales
Seguridad de los Datos • La FTC ha llevado mas de 60 casos sobre la
seguridad de los datos. • Ejemplos recientes: Venmo BLU Products Lenovo Uber D-Link
Medidas de Seguridad
“Los datos personales deberían ser protegidos por medidas de seguridad razonables contra tales riesgos como la perdida, acceso no autorizado, destrucción, uso, modificación, o divulgación de datos.” OCDE
Una breve reseña de los antecedentes sobre la leyes de notificación
• 2000: California • 2005: Nueva York • 2007: Massachusetts • 2009: Regla para expedientes de salud (FTC) • 2018: 50 estados • 2018: RGPD
¿Cuáles son los propósitos de una ley de notificación?
• Permitir a individuos tomar medidas para protegerse contra las consecuencias de la filtración.
• Proporcionar a las autoridades información para determinar si deberían investigar el incidente o tomar otra acción.
• Crear un incentivo para adoptar medidas de seguridad apropiada para los datos.
Notificaciones
Cuestiones claves: • Que desencadena la notificación? • Cuando hay que dar la notificación? • A quien la notificación? • Que sanciones para faltas de notificación?
California Cal. Civ. Code § 1789.80 et seq. (2000) • La intención de la estatua: “proporcionar
seguridad razonable” • Cuando?
– Creencia razonable de acceso no autorizado – “en el tiempo lo mas expeditivo posible, sin
dilación indebida,” – Conforme a las necesidades del orden publico
California
A quien? • Residentes de CA cuyos datos fue
comprometidas • Fiscal General, si 500+ residentes de CA
afectados • Terceros en circunstancias determinadas
RGPD: artículos claves
• 4(12): definición de “«violación de la seguridad de los datos personales»
• 32: Seguridad del tratamiento • 33: Notificación de una violación de la
seguridad de los datos personales a la autoridad de control
• 34: Comunicación de una violación de la seguridad de los datos personales al interesado
Artículo 32 Seguridad del tratamiento
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos . . . el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo . . . .” (énfasis añadido)
RGPD 4(12)
• «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”
Artículo 33 Notificación a la autoridad de control
• “sin dilación indebida” • Si posible, a más 72 horas después de que se
haya tenido constancia de la violacion • a menos que sea improbable que dicha
violación constituya un riesgo para los derechos y las libertades
Artículo 33 Notificación a la autoridad de control
“Constancia de la violación” (GT29, #250) • “Grado razonable de certeza” que se ha
ocurrido una violación • periodo corto de investigación para establecer
si una violación de hecho ha ocurrido
Artículo 34 Comunicación de una violación de la seguridad de los datos personales al
interesado
• “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades …”
• “sin dilación indebida. “ • Con excepciones.
• Guías practicas para empresas – Como preparar para los incidentes – Que hacer para investigar un incidente – Que hacer para arreglar vulnerabilidades – Que hacer para ayudar a los victimas
• Regla para notificaciones en cuanto a expedientes de salud (“health data breach rule”): Cuando? – Notificaciones dentro de 10 días cuando 500+ – 60 días si menos
• Recomendaciones legislativas
FTC
Materiales educativas para empresas
Ayuda para consumidores
¡Gracias! Hugh Stevenson Comisión Federal de Comercio
Las opiniones expresadas aquí son del orador y no reflejan necesariamente las opiniones de la Comisión Federal de Comercio o cualquier Comisario individual.
21