Brechas de Datos Personales: Notificación y Gestión

Una brecha de datos personales puede ocurrir incluso en organizaciones con controles de seguridad robustos. Lo que distingue a una organización madura no es la ausencia de incidentes, sino su capacidad para detectarlos rápidamente, evaluarlos correctamente y notificar oportunamente a las autoridades y titulares afectados. La Ley 21.719 y ISO 27701 establecen requisitos específicos para este proceso.

¿Qué es una brecha de datos personales?

Una brecha de seguridad que afecta datos personales es cualquier incidente que comprometa la confidencialidad (acceso no autorizado a datos personales), la integridad (alteración no autorizada de datos personales) o la disponibilidad (pérdida o destrucción de datos personales) de datos personales. Los ejemplos incluyen ciberataques con exfiltración de datos, pérdida o robo de dispositivos con datos personales, envío accidental de información al destinatario incorrecto, acceso no autorizado por empleados, y ransomware que cifra bases de datos con información personal.

Proceso de gestión de brechas

Fase	Actividad	Plazo
1. Detección	Identificar el incidente como brecha de datos personales	Lo antes posible (monitoreo continuo)
2. Contención	Limitar el impacto de la brecha y prevenir su extensión	Inmediato tras la detección
3. Evaluación	Determinar alcance, datos afectados, titulares impactados, riesgo	Dentro de las primeras horas
4. Notificación a la Agencia	Comunicar la brecha a la Agencia de Protección de Datos	Dentro del plazo legal establecido
5. Notificación a titulares	Informar a los titulares afectados cuando exista riesgo elevado	Sin demora injustificada
6. Investigación	Determinar la causa raíz y el alcance completo	Días/semanas tras la contención
7. Remediación	Corregir la causa raíz e implementar controles preventivos	Según complejidad
8. Documentación	Registrar todo el incidente, decisiones y acciones	Continuo durante todo el proceso

Notificación a la Agencia de Protección de Datos

La Ley 21.719 establece la obligación de notificar las brechas de datos personales a la Agencia de Protección de Datos Personales. La notificación debe incluir la naturaleza de la brecha, las categorías y número aproximado de titulares afectados, las categorías y número de registros afectados, las consecuencias probables de la brecha, las medidas adoptadas o propuestas para abordar la brecha, y los datos de contacto del responsable de la notificación.

Notificación a los titulares

Cuando la brecha genere un riesgo elevado para los derechos y libertades de los titulares, la organización debe comunicarles la brecha en un lenguaje claro y comprensible. La comunicación debe describir la naturaleza de la brecha, las posibles consecuencias, las medidas adoptadas, y las recomendaciones para que los titulares protejan sus intereses (por ejemplo, cambiar contraseñas, monitorear cuentas bancarias).

Importante: La falta de notificación oportuna de una brecha de datos personales puede generar sanciones agravadas por parte de la Agencia. Es preferible notificar con información preliminar y complementar posteriormente que demorar la notificación esperando tener información completa.

ISO 27701 y gestión de brechas

Los controles de ISO 27701 complementan los procedimientos de gestión de incidentes de ISO 27001 con requisitos específicos para brechas de datos personales: evaluación del impacto en los titulares (no solo en la organización), procedimientos de notificación a la autoridad y a los titulares, documentación específica del incidente de privacidad, y coordinación con el delegado de protección de datos.

Preparación: antes de que ocurra la brecha

La preparación es clave. Antes de que ocurra un incidente, la organización debe tener un procedimiento documentado de gestión de brechas de datos, un equipo de respuesta designado con roles claros, plantillas de notificación preparadas, canales de comunicación con la Agencia establecidos, y simulacros periódicos del procedimiento de respuesta.

Buena práctica: Realiza simulacros de brechas de datos personales al menos una vez al año. Estos ejercicios revelan debilidades en los procedimientos, mejoran los tiempos de respuesta y familiarizan al equipo con sus roles en una situación real.

Prepárate para gestionar brechas con GRC360

GRC360 incluye un módulo de gestión de incidentes de privacidad con flujos de trabajo de notificación, plantillas de comunicación y registros auditables para cumplir con la Ley 21.719.

Crear Cuenta Gratis

Consulta ISO 27701, Ley 21.719 y protección contra ransomware.