INCIDENTE DE SEGURIDAD EN 72 HORAS!

Notificaciones y la Seguridad de los Datos

Hugh Stevenson Director Adjunto,

Oficina de Asuntos Internacionales Comisión Federal de Comercio

Santa Marta, Colombia 7 junio 2018

Introducción a la FTC

• Una agencia independiente de desde hace >100 anos.

• Regula grandes franjas del sector comercial.

• La misión incluye la protección al consumidor; la privacidad es parte de esa misión.

Nuestras Herramientas

• Casos • Conferencias • Estudios & Informes • Materiales educativos • Iniciativas internacionales

Seguridad de los Datos • La FTC ha llevado mas de 60 casos sobre la

seguridad de los datos. • Ejemplos recientes: Venmo BLU Products Lenovo Uber D-Link

Medidas de Seguridad

“Los datos personales deberían ser protegidos por medidas de seguridad razonables contra tales riesgos como la perdida, acceso no autorizado, destrucción, uso, modificación, o divulgación de datos.” OCDE

Una breve reseña de los antecedentes sobre la leyes de notificación

• 2000: California • 2005: Nueva York • 2007: Massachusetts • 2009: Regla para expedientes de salud (FTC) • 2018: 50 estados • 2018: RGPD

¿Cuáles son los propósitos de una ley de notificación?

• Permitir a individuos tomar medidas para protegerse contra las consecuencias de la filtración.

• Proporcionar a las autoridades información para determinar si deberían investigar el incidente o tomar otra acción.

• Crear un incentivo para adoptar medidas de seguridad apropiada para los datos.

Notificaciones

Cuestiones claves: • Que desencadena la notificación? • Cuando hay que dar la notificación? • A quien la notificación? • Que sanciones para faltas de notificación?

California Cal. Civ. Code § 1789.80 et seq. (2000) • La intención de la estatua: “proporcionar

seguridad razonable” • Cuando?

– Creencia razonable de acceso no autorizado – “en el tiempo lo mas expeditivo posible, sin

dilación indebida,” – Conforme a las necesidades del orden publico

California

A quien? • Residentes de CA cuyos datos fue

comprometidas • Fiscal General, si 500+ residentes de CA

afectados • Terceros en circunstancias determinadas

RGPD: artículos claves

• 4(12): definición de “«violación de la seguridad de los datos personales»

• 32: Seguridad del tratamiento • 33: Notificación de una violación de la

seguridad de los datos personales a la autoridad de control

• 34: Comunicación de una violación de la seguridad de los datos personales al interesado

Artículo 32 Seguridad del tratamiento

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos . . . el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo . . . .” (énfasis añadido)

RGPD 4(12)

• «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”

Artículo 33 Notificación a la autoridad de control

• “sin dilación indebida” • Si posible, a más 72 horas después de que se

haya tenido constancia de la violacion • a menos que sea improbable que dicha

violación constituya un riesgo para los derechos y las libertades

Artículo 33 Notificación a la autoridad de control

“Constancia de la violación” (GT29, #250) • “Grado razonable de certeza” que se ha

ocurrido una violación • periodo corto de investigación para establecer

si una violación de hecho ha ocurrido

Artículo 34 Comunicación de una violación de la seguridad de los datos personales al

interesado

• “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades …”

• “sin dilación indebida. “ • Con excepciones.

• Guías practicas para empresas – Como preparar para los incidentes – Que hacer para investigar un incidente – Que hacer para arreglar vulnerabilidades – Que hacer para ayudar a los victimas

• Regla para notificaciones en cuanto a expedientes de salud (“health data breach rule”): Cuando? – Notificaciones dentro de 10 días cuando 500+ – 60 días si menos

• Recomendaciones legislativas

FTC

Materiales educativas para empresas

Ayuda para consumidores

¡Gracias! Hugh Stevenson Comisión Federal de Comercio

Las opiniones expresadas aquí son del orador y no reflejan necesariamente las opiniones de la Comisión Federal de Comercio o cualquier Comisario individual.

21