Los incidentes de seguridad en el marco del reglamento general de protección de datos personales se encuentran regulados en el artículo 33 y 34, estableciendo criterios de notificación a la autoridad de protección de datos personales, al interesado, así como los tiempos en que se debe realizar dicha notificación.
En el caso colombiano, se encuentra dentro de las obligaciones que tiene el responsable, de informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
Revisemos las principales divergencias y convergencias:
Tiempos de notificación a la autoridad de protección de datos personales.
En el caso del RGPD la notificación a la autoridad de protección de datos personales se debe dar a más tardar dentro de las 72 horas después de haber tenido constancia de la brecha de seguridad. En el caso colombiano se debe reportar ante el RNBD dentro de los 15 días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Procedimiento en caso de que no se realice la notificación en el plazo establecido.
El RGPD menciona que si no se notifica a la autoridad en el plazo de 72 horas, sino de manera posterior, se debe indicar los motivos que llevaron a la dilación. En el caso colombiano no se menciona la ley ni las circulares nada al respecto. No obstante, es de anotar, que en el caso colombiano hay un tiempo bastante amplio de 15 días, que son hábiles, que en principio son suficientes para dar cumplimiento al protocolo de respuestas de incidentes de seguridad, no obstante, no siempre será así.
Necesidad de no notificación a la Autoridad de Protección de Datos Personales
El RGPD menciona que cuando no sea probable que la violación de seguridad constituya un riesgo para los derechos y libertades de las personas, no será necesario realizar la notificación a la Autoridad de Control. En el caso colombiano no menciona nada al respecto, sin embargo, debe interpretarse en similar sentido, en el caso por ejemplo que haya ocurrido una brecha de seguridad, pero en esta, no se ha comprometido datos personales, no será necesario dicha notificación.
Comunicación al interesado
El RGPD menciona que cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable comunicará al interesado sin dilación indebida. En el caso colombiano, no quedó la obligatoriedad de comunicarle al titular en la legislación, sin embargo, si se encuentra establecido en la Guía de Responsabilidad Demostrada. Es apenas lógico, que una organización cuyos datos administra sea víctima de una brecha de seguridad donde se exponen los mismos, es una obligación mínima de notificar a los titulares que sus datos han sido expuestos, precisamente para que tome medidas, como cambio de usuarios y contraseñas, hasta solicitud de eliminación de cuentas, entre otros.
Por último, el RGPD establece la obligación por parte del Encargado de reportar al Responsable cuando ocurra una brecha de seguridad. En nuestro caso no esta consagrado expresamente en la legislación, sin embargo, en la Guía de Gestión de Incidentes se encuentra como recomendación establecer dentro del contrato de transmisión de datos personales dicho requisito.
.png)
