De esta forma, se puede apreciar que la Ley El Consejo para la Transparencia 57 ha interpretado esta norma entendiendo que este estándar medio se cumpliría estableciendo medidas de seguridad, técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de la información.

Sin perjuicio de este criterio orientador, la verificación concreta de la suficiencia de las medidas implementadas por un responsable en el tratamiento de datos personales es una cuestión que requiere ser determinada caso a caso por los tribunales ordinarios de justicia en un procedimiento civil, quienes ven si en el caso particular el responsable actuó bajo el estándar medio de conducta del buen padre de familia Cerda, : En efecto, ante el incumplimiento de esta obligación de cuidado del artículo 11, la única forma de reparación disponible para el titular de datos es la demanda de indemnización de perjuicios que consagra la norma de responsabilidad contenida en el artículo 23 de la Ley Si bien la jurisprudencia nacional se ha referido en limitadas ocasiones al contenido de esta obligación de debida diligencia, hemos identificado dos casos relevantes en cuanto a su aplicación.

El primero de ellos ante el Decimosexto Juzgado Civil de Santiago el año rol C , en el que se condenó a un reconocido banco de la plaza al pago de una indemnización por concepto de daño moral a tres clientes.

Los hechos que derivaron en esta acción fueron el abandono en la vía pública de documentación que contenía datos personales, 61 lo que, a criterio del tribunal implicó una infracción a los artículos 6 62 y 11 de la Ley Un caso más reciente se encuentra en sede laboral por una acción por vulneración de derechos fundamentales deducida ante el Juzgado de Letras del Trabajo de Calama el año RIT T , en el cual se declaró que Codelco vulneró el derecho a la intimidad del demandante.

Ahora bien, se ha formulado una serie de críticas a la regulación que la Ley Primero, la ausencia de una obligación que requiera establecer medidas concretas y precisas de seguridad por parte del responsable, que atiendan a criterios mínimos como el estado de arte, los costos de implementar medidas, la naturaleza de los datos personales, el tipo de tratamiento o los posibles riesgos que éste conlleva.

El estándar actual supone una evaluación caso a caso por los tribunales, en la que los jueces no tienen parámetros específicos de control.

En una sociedad en que los tratamientos de datos son cada día más complejos, es necesario entregar herramientas sobre las cuales los responsables, jueces y la eventual autoridad administrativa puedan aterrizar el estándar requerido, de modo de aplicar y calificar correctamente la obligación de seguridad.

Segundo, la ausencia de obligaciones asociadas al reporte de vulneraciones que afecten medidas de seguridad a una autoridad o a los titulares de datos afectados, de forma que puedan tomar aquellos resguardos que permitan atenuar los efectos adversos derivados de la vulneración.

Tercero, la ausencia de la posibilidad de que los titulares exijan a los responsables la aplicación de medidas de seguridad específicas para garantizar la seguridad de los datos tratados.

Cuarto, la ausencia de obligaciones de seguridad particulares para el mandatario o encargado que trata los datos personales en lugar y nombre del responsable del banco de datos.

Quinto, la ausencia de un principio de seguridad que inspire el tratamiento de los datos personales por los responsables del banco de datos y los mandatarios. De esta forma, advertimos que la Ley La precariedad de la Ley Con todo, la obligación de seguridad revisada podría cambiar próximamente en virtud del contenido del proyecto que busca modificar la regulación actual de la Ley Obligaciones de seguridad de datos personales en la regulación del área de la salud.

Al analizar el panorama vigente en Chile respecto de las obligaciones de seguridad en el tratamiento de datos personales, resulta también ilustrativo revisar lo que ocurre respecto de la información personal de salud, 72 la cual, dado su carácter de dato sensible, 73 ha sido conferida —en ciertos casos— de una protección mayor en lo que a seguridad se refiere.

El tratamiento de datos de salud en Chile no está regulado por un cuerpo normativo único y específico, sino que está integrado por denso grupo de diversas normas cuyo eje no es solo el sector salud, ni tampoco la regulación de los datos de salud propiamente tal.

Bajo este escenario, además de la Ley Sin perjuicio de este grupo de normas, para efectos de obligaciones de seguridad en el tratamiento de datos de salud es posible advertir que, dentro del ámbito de normas sectoriales en salud, las obligaciones más relevantes están contenidas en la Ley Esta normativa se refiere a la llamada «ficha clínica» 74 e impone medidas de seguridad especiales para ella y los datos que contiene.

En línea con las definiciones dispuestas por la Ley Por su parte, esta normativa contiene una obligación de custodia y reserva, al establecer —a nivel de acceso— una regla transversal en cuanto a que terceros no relacionados directamente con la atención de salud no pueden tener acceso a la información de la ficha clínica, e indica específicamente quiénes y cuándo pueden acceder a ella, lo que Muñoz ha entendido como niveles de acceso originarios y secundarios.

Sin perjuicio de lo anterior, cabe destacar que esta normativa no se queda solo con requisitos amplios asociados a la seguridad que se debe aplicar en el manejo de la ficha clínica o la información que contiene, sino que establece medidas concretas a este respecto que difieren del estándar general de seguridad que contempla la Ley En efecto, el artículo 8 del Decreto 41 ordena que las fichas clínicas deben «almacenarse en un archivo o repositorio que garantice que los registros son completos y asegure el acceso oportuno, la conservación y confidencialidad de los datos, así como la autenticidad de su contenido y de los cambios efectuados en ella».

Establece luego que, respecto de las fichas en soporte electrónico, se deben contemplar medidas de respaldo, copias de seguridad, barreras de protección frente accesos no autorizados, medidas de sustitución de información y medidas de continuidad de servicio.

Estas medidas destinadas a la seguridad de los datos incorporados en la ficha clínica se complementan con el título 3 del mismo reglamento, que se refiere a la administración, acceso y eliminación de la ficha clínica. En cuanto a la entidad encargada de dar cumplimiento a estas reglas de resguardo, ésta será aquel prestador institucional o individual 82 quien, al mismo tiempo, tendrá la calidad de responsable del banco de datos bajo la Ley Ante un incumplimiento, los remedios legales que se podrán aplicar son las reglas del artículo 23 de la Ley Por su parte, a nivel constitucional, se podría aplicar la acción constitucional de protección regulada en la Constitución Muñoz Cordal, : Como vemos, la relación existente entre la Ley Nos queda referirnos a la Ley El artículo 13 de esta ley señala que la recopilación, almacenamiento, tratamiento y difusión del genoma de las personas se ajustará a las disposiciones de la Ley Agrega que la encriptación podrá omitirse temporalmente por razones de utilidad pública.

El reglamento de esta Ley, 87 en su artículo 23, profundiza esta disposición incorporando que «la información genética de un ser humano será reservada, sin perjuicio de las facultades de los tribunales de justicia en los casos y en las formas establecidas en la ley».

La relevancia de establecer medidas de seguridad en el tratamiento de esta clase de datos obedece a sus características intrínsecas y potencial identificador.

Se ha indicado que las muestras genéticas, aun cuando no estén asociadas a un sujeto, pueden ser cotejadas para identificar con facilidad a un individuo, lo que, bajo la Ley Por último, podemos apreciar que se incluye en forma expresa la medida de encriptación 89 de los datos del genoma humano como mecanismo para su adecuado almacenamiento y transmisión, lo cual difiere de la Ley Esto es muy relevante y constituye un avance, pues el uso de encriptación garantiza las propiedades de confidencialidad e integridad de los datos elevando el estándar de protección asociado Álvarez Valenzuela, : Las obligaciones de seguridad en el proyecto para el tratamiento de datos personales.

Tras haber observado el panorama de obligaciones de seguridad vigentes para el tratamiento de datos personales bajo la Ley El proyecto se encuentra actualmente en tramitación legislativa en el Congreso Nacional, por lo que es relevante señalar que para este trabajo hemos utilizado la versión que contiene las disposiciones aprobadas por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado hasta la sesión del 8 de enero de A la fecha de este trabajo, el proyecto se encontraba próximo a concluir su primer trámite constitucional en la Comisión de Hacienda del Senado, para luego pasar a la Cámara de Diputados a su segundo trámite constitucional.

El proyecto contempla una modificación de la mayoría de las normas que existen en la Ley Dentro del articulado del proyecto, las disposiciones sobre seguridad del tratamiento de datos personales las podemos agrupar bajo los siguientes ejes:.

Obligaciones de seguridad para el mandatario en el tratamiento de datos personales. Cabe señalar que estas disposiciones son comunes para las distintas categorías de datos personales que contempla el proyecto, incluyendo los datos personales relativos a la salud y al perfil biológico humano.

A continuación, pasamos a revisar las disposiciones sobre seguridad de datos personales que establece el proyecto. El proyecto regula una serie de principios 97 para el tratamiento de datos personales, entre los que se encuentra el nuevo principio de seguridad que se establece su artículo 3 letra f de la siguiente manera:.

En el tratamiento de los datos personales, el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito y contra su pérdida, filtración, daño accidental o destrucción.

Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos. Si bien el artículo 3 señala que el tratamiento de datos se rige por los principios enumerados en sus literales, el artículo 14 del proyecto establece la obligación de cada responsable 98 de cumplir con ellos como verdaderas obligaciones: 99 «El responsable de datos, sin perjuicio de las demás disposiciones previstas en esta ley, tiene las siguientes obligaciones: […] e Cumplir con los demás principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley».

Si bien como técnica legislativa esto puede parecer poco prolijo, al menos es coherente con el nivel de detalle que contempla el principio de seguridad, ya que establece elementos que se deben considerar para alcanzar el nivel adecuado de seguridad, como el tipo de tratamiento y la naturaleza de los datos, así como los objetivos específicos al que ese estándar debe propender: evitar el tratamiento no autorizado o ilícito, la pérdida, filtración, daño accidental o destrucción de los datos.

Es relevante señalar que este nuevo principio tiene directa relación con el cumplimiento de otros principios y obligaciones del responsable bajo el proyecto, hasta constituirse en una suerte de prerrequisito. En este sentido, se pueden advertir múltiples situaciones en que medidas de seguridad inadecuadas pueden implicar, por ejemplo, una transferencia internacional indebida a un país no permitido; el mantenimiento de bases de datos inexactas o con información incorrecta del titular; o el incumplimiento del principio de confidencialidad que supone guardar secreto sobre los datos personales OCDE, : ; Room, : Por último, otra relación relevante es la existente entre el principio de seguridad y el de proporcionalidad artículo 3 letra c del proyecto , que establece que los datos que se traten «se deben limitar a los que resulten necesarios en relación con los fines del tratamiento».

Con la proliferación del ciberespacio, cada día son más los datos personales que se recolectan, lo que lleva a un incremento en los riesgos. De esta manera, vemos que el principio de proporcionalidad colabora con la seguridad de los datos personales limitando precisamente el volumen de datos tratados por el responsable y, al mismo tiempo, disminuyendo el nivel de riesgos de seguridad asociado Hamelink, El artículo 14 quinquies del proyecto contempla la obligación de adoptar medidas de seguridad de la siguiente forma:.

El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en esta ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados.

Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.

Si las bases de datos que opera el responsable tienen distintos niveles de riesgo, deberá adoptar las medidas de seguridad que correspondan al nivel más alto. Ante la ocurrencia de un incidente de seguridad, y en caso de controversia judicial o administrativa, corresponderá al responsable acreditar la existencia y el funcionamiento de las medidas de seguridad adoptadas en base a los niveles de riesgo y a la tecnología disponible.

En términos generales, este artículo contiene la obligación para el responsable de mantener seguros los datos personales que trata de acuerdo con ciertos parámetros. La totalidad de esta obligación representa una novedad para la regulación vigente en la Ley Al analizar la disposición, podemos dividir su contenido según los tres aspectos que debe considerar el responsable en su cumplimiento.

Además, agregamos un cuarto aspecto asociado con los estándares de cumplimiento, los cuales —a nuestro juicio— también son relevantes para efectos de esta obligación. En primer lugar, los parámetros específicos que deberá tener en cuenta el responsable a la hora de implementar las medidas de seguridad son: i el estado actual de la técnica y los costos de aplicación; ii la naturaleza, alcance, contexto y fines del tratamiento de datos; iii la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos; y iv la naturaleza de los datos tratados.

Este último, tomado del principio de seguridad que vimos anteriormente. De esta forma, el eje central en la aplicación de medidas estará, al igual que en el RGPD, en la gestión de riesgos asociados al tratamiento de datos, lo cual implicará del responsable tomar en cuenta los riesgos existentes a lo largo de todo el espectro técnico y organizacional, incluyendo, por ejemplo, el derivado de la actividad de un subcontratista con acceso a bases de datos en calidad de encargado del tratamiento, o el derivado de ataques informáticos sofisticados Room, : En segundo lugar, los objetivos que deben tener las medidas de seguridad implementadas por el responsable de datos: i asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos; ii evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado a los datos personales; y iii resguardar el cumplimiento del principio de seguridad que, en la práctica, agrega proteger los datos contra el tratamiento ilícito, la filtración de datos y el daño accidental.

A nuestro juicio, pareciera que los objetivos de los números ii y iii están ya comprendidos dentro del objetivo i , relativo al aseguramiento de la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos, y que va en línea de la definición clásica de seguridad de la información que comprende los elementos confidencialidad, integridad y disponibilidad.

Por lo general, se ha entendido que el compromiso de alguno de estos elementos supone, al menos, una vulneración en la seguridad de los datos Álvarez Valenzuela y Vera Hott , : ; Laube y Böhme , : 29; Room, : En tercer lugar, la demostración de cumplimiento de las medidas implementadas ante la ocurrencia de un incidente de seguridad, lo cual requerirá al responsable acreditar «la existencia y el funcionamiento de las medidas de seguridad adoptadas en base a los niveles de riesgo y a la tecnología disponible».

El proyecto establece un modelo de responsabilidad demostrada, en virtud del cual el responsable debe ser capaz de dar cuenta de las medidas de seguridad adoptadas y su funcionamiento. Además de esto, se puede argumentar que esta disposición invierte la carga de la prueba en cuanto es el responsable, y no el titular o la autoridad, quien, ante un incidente, deberá probar que tenía implementadas medidas de seguridad acorde a la evaluación de los riesgos asociados y que, aun en ese caso, aconteció la vulneración que afectó los datos personales tratados.

En cuarto lugar, el estándar de cumplimiento de estas medidas de seguridad que deberá tener en cuenta el responsable y que está dispuesto en el artículo 14 septies del proyecto. Este artículo establece que las condiciones mínimas que se impongan al responsable para el cumplimiento de la obligación de seguridad serán determinadas considerando: i la calidad del responsable de datos persona natural o jurídica ; ii el tamaño de la entidad o empresa y la actividad que desarrolla; iii el tipo, volumen y naturaleza de los datos personales tratados; y iv las finalidades del tratamiento.

Estos estándares de cumplimiento serán especificados por el Consejo para la Transparencia y la Protección de Datos Personales en una instrucción general.

Estimamos que esta disposición no busca disminuir la relevancia de la seguridad de los datos personales, sino tratar de generar criterios de razonabilidad para cuando el Consejo o el juez califiquen el cumplimiento del deber de seguridad.

Tras haber analizado estos cuatro puntos esenciales, podemos ver que la aplicación concreta de medidas de seguridad dependerá finalmente de las condiciones asociadas a cada tratamiento de datos y los riesgos que existan en cada caso.

De esta forma, las medidas de seguridad que necesite un responsable no necesariamente van a ser las mismas que utilice otro responsable solo por tener, en apariencia, actividades de procesamiento similares. Es importante mencionar que esta aproximación basada en la gestión de riesgos y el hecho de que el principio de seguridad requiera de medidas «apropiadas», implica que el legislador no está obligando a los responsables a alcanzar una seguridad absoluta e infranqueable, sino que, más bien, a implementar medidas basadas en la mayor o menor probabilidad e impacto de los riesgos de seguridad que se identifiquen.

A mayor probabilidad o impacto, el responsable requerirá mayor nivel de sofisticación en las medidas de seguridad, por ejemplo, en el caso de hacer tratamiento de datos de carácter sensible Room, : ; Smedinghoff, : ; Wolters, : Este análisis de riesgos, no obstante, deberá también vincularse estrechamente con los demás parámetros de medición establecidos por la norma, que incluyen tanto los que señala el artículo 14 quinquies por ejemplo, el estado actual de la técnica , como los del artículo 14 septies sobre el estándar de cumplimiento.

En este último caso, especial consideración se deberá tener con el tamaño de la entidad y la actividad que desarrolla, así como la finalidad del tratamiento.

Por último, cabe destacar que en esta área existe desde hace varios años un desarrollo técnico relevante asociado a las ramas de la seguridad de información o la ciberseguridad, por lo que estimamos que el cumplimiento de esta obligación no debería —en principio— ser tan complejo para los responsables y mandatarios.

Sin embargo, esto obligará a la protección de datos a salir del texto normativo para apoyarse en el conocimiento de seguridad de la información y sus estándares Hartzog, ; Room, : El establecimiento de la obligación de reportar y registrar vulneraciones a las medidas de seguridad.

El responsable y el encargado de datos deberán reportar a el Consejo para la Transparencia y la Protección de Datos Personales, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizado a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.

El responsable y el encargado de datos deberán registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros.

Cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños y niñas menores de catorce años, o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable y el encargado de datos deberán también efectuar esta comunicación a los titulares de estos datos.

Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.

Este artículo establece que, en caso de un incidente o vulneración que conlleve un riesgo razonable para los derechos y libertades de los titulares, el responsable y el encargado del tratamiento deberán reportar al Consejo para la Transparencia y la Protección de Datos Personales dicha circunstancia por los medios más expeditos posibles y sin dilaciones indebidas.

En caso de que las vulneraciones impliquen datos personales sensibles, datos relativos a menores de catorce años, o datos comerciales, el responsable y el mandatario, además de notificar al Consejo, deberán hacerlo a los titulares de esos datos cumpliendo con ciertos requisitos mínimos señalados en la norma.

En cuanto al contenido de la notificación, la norma solo lo establece para aquella que se hace al titular de los datos, pero no para los casos en que la notificación se debe hacer al Consejo.

De aprobarse el texto como está, la posición conservadora a nuestro juicio sería notificar incluyendo los antecedentes señalados tanto para el registro de vulneraciones como para la notificación a los titulares.

Sin perjuicio de lo anterior, creemos relevante que se aclare este punto, dado que el contenido de la notificación es un elemento esencial que debe estar definido con anterioridad a la ocurrencia de un incidente, al menos en sus puntos esenciales.

Sobre el contenido propiamente tal, una práctica recomendable sería revisar ejemplos comparados y nacionales con el fin de alcanzar un balance óptimo entre la calidad de la información que se pide al hacer la notificación y la carga del obligado, evaluando la utilización de modelos o formularios que permitan la sistematización de la información de forma más eficiente.

Junto con la notificación, el responsable de datos y el mandatario deberán llevar un registro de las comunicaciones en el que indiquen las siguientes cinco menciones: i la naturaleza de las vulneraciones; ii los efectos de las vulneraciones; iii las categorías de datos afectados; iv el número aproximado de titulares afectados; y v las medidas adoptadas para gestionar las vulneraciones y precaver incidentes futuros.

Cabe señalar que esta obligación difiere del RGPD en cuanto el registro se refiere a las «comunicaciones» y no a «cualquier clase de vulneración», sin perjuicio de que creemos que, bajo cualquier estándar de seguridad adecuado, un responsable o encargado deberá registrar todas las vulneraciones que sufra aun cuando no requiera notificarlas, de forma de acreditar cumplimiento de sus demás obligaciones de seguridad en línea con el principio de responsabilidad demostrada Room, : De esta revisión, se advierte que el enfoque adoptado por el proyecto toma ciertos elementos del RGPD para construir la obligación de reporte, y agrega otros nuevos.

Algunos elementos novedosos o distintos del RGPD son: la causal de notificación a los titulares de datos solo cuando la afectación se presente respecto de datos sensibles, datos relativos a menores de catorce años, o datos comerciales; la ausencia de normas que configuren «puertos seguros»; el hecho de que la calificación de riesgos que debe hacer el responsable y el mandatario para determinar la notificación a la autoridad y a los titulares es similar riesgo razonable ; y el establecimiento de la obligación de notificación a los titulares por parte del mandatario, entre otros aspectos.

Con todo, vemos a esta nueva obligación de notificación y registro como un avance importante para la seguridad de los datos personales tratados en Chile, la que constituiría la primera obligación transversal de notificación asociada a brechas de seguridad que afecten datos personales, y lo que iría en estrecha concordancia con el camino tomado por varias jurisdicciones alrededor del mundo, incluyendo en Estados Unidos, Europa.

Se ha señalado que la lógica subyacente a su establecimiento es que a través de ellas se otorga información que permite a los titulares de datos y empresas protegerse de las vulneraciones, y así mitigar sus efectos perjudiciales; y se incentiva la inversión en seguridad de la información y medidas de ciberseguridad, en vista que esta clase de notificaciones puede dañar la reputación y el valor de la empresa afectada y enfrentarla a acciones de indemnización o multas Laube y Böhme , : 29; OCDE, : ; Room, : ; Smedinghoff, : 43; Sullivan y Leigh Maniff , : Ahora bien, de la revisión de esta nueva obligación nos surgen las siguientes consideraciones adicionales que estimamos relevantes para alcanzar el propósito de la norma y del proyecto en general:.

Se requiere evaluar medidas para coordinar las gestiones de notificación y mitigación con otras autoridades. Las vulneraciones a medidas de seguridad muchas veces no solo se vinculan con la protección de datos personales, sino que también con otras áreas como ciberseguridad, protección al consumidor, regulación bancaria, y delitos informáticos, por nombrar algunas.

Se requiere aplicar medidas que guíen y orienten a los responsables y mandatarios en la correcta notificación de vulneraciones en, al menos, dos aspectos: i la identificación de riesgos, dado que la notificación de vulneraciones sin que se evalúe correctamente que de ellas puede derivar «un riesgo razonable para los derechos y libertades de los titulares» —como pide la norma—, puede llegar a generar un número excesivo de comunicaciones cuya revisión la autoridad no tenga la capacidad de efectuar o que, por su volumen, no sean tomadas en cuenta por los titulares de datos; y ii en la determinación de la imposibilidad de notificación al afectado que autoriza la comunicación por un medio de comunicación masivo, dado que su interpretación puede dar lugar a múltiples categorías de imposibilidad restringiendo, en consecuencia, la protección de los titulares de datos Hartzog, ; OCDE, : Se requiere considerar ciertas hipótesis de «puerto seguro» que otorguen razonabilidad y eficiencia a la norma exceptuando la obligación de notificación.

La incorporación de obligaciones de seguridad para el mandatario en el tratamiento de datos personales. El inciso cuarto del artículo 15 bis del proyecto sobre tratamiento de datos a través de un tercero encargado establece:.

El tercero mandatario o encargado deberá cumplir con lo dispuesto en los artículos 14 bis, 14 quater, 14 quinquies y artículo 14 sexies.

La diferenciación de estándares de seguridad establecida en el inciso primero del artículo 14 septies también será aplicable al tercero mandatario o encargado. Tratándose de una vulneración a las medidas de seguridad, el tercero o mandatario deberá reportar este hecho al Consejo para la Transparencia y la Protección de Datos Personales y al responsable.

De esta forma, la norma señala que cuando un tratamiento de datos personales se efectúe a través de un mandatario, éste deberá cumplir con las mismas obligaciones del responsable de datos vinculadas a la adopción de medidas de seguridad artículo 14 quinquies y al reporte y registro de vulneraciones a esas medidas 14 sexies ; así como una obligación específica de notificación al responsable de datos.

La norma viene a suplir el importante vacío que existe bajo la Ley No obstante, la norma nos parece todavía perfectible en lo que a las obligaciones de notificación se refiere en los siguientes aspectos:. En primer lugar, la norma requiere que el mandatario notifique directamente a los titulares de datos frente a una vulneración de medidas de seguridad.

Esto se establece, por una parte, en la remisión íntegra que el inciso cuarto del artículo 15 bis hace al artículo 14 sexies que contempla la notificación de datos al titular; por otra, lo que dispone ese mismo artículo 14 sexies en cuanto señala que, al tratarse de una vulneración que se refiera a datos personales sensibles, relativos a niños y niñas menores de catorce años o datos de carácter comercial, «el responsable y el encargado deberán también efectuar esta comunicación a los titulares de estos datos».

De esta forma, podemos observar que el proyecto contempla una obligación de notificación mayor para el mandatario que para el responsable de datos al tener que, en ciertos casos, estar obligado a hacer tres notificaciones diferentes para la misma vulneración: al Consejo para la Trasparencia y la Protección de Datos Personales, al responsable de datos, y a los titulares en los casos que establece el inciso tercero del artículo 14 sexies.

En segundo lugar, la norma contempla un régimen de notificaciones paralelas de parte del mandatario y el responsable de datos tanto al Consejo, como al titular de datos personales, lo cual también es contrario a la naturaleza de las entidades y puede generar ineficiencias en el sistema de protección de derechos.

El texto propuesto da lugar a notificaciones simultáneas por los mismos eventos tanto al Consejo como a los titulares de los datos, lo cual podría generar confusión y dificultades en la coordinación de respuestas frente a incidentes, además de implicar un gasto injustificado de recursos al desconocer que el responsable es quien, por sus características y facultades, en la generalidad de los casos está en una mejor posición para acceder a los datos y calificar la existencia e impacto de una vulneración.

Por todo lo anterior, nos parece que se debería explorar una modificación de los artículos 14 sexies y 15 bis del proyecto para aproximarlos al RGPD, requiriendo únicamente la obligación de notificación desde el mandatario al responsable, y que este último sea el único encargado de notificar al Consejo y a los titulares de los datos en caso de ser aplicable.

Alternativamente, se podría evaluar una participación más activa de los mandatarios, pero con la precaución de evitar notificaciones simultáneas y estableciendo con claridad a cuál de las entidades responsable o mandatario corresponde la obligación de notificación y a qué destinatario en específico.

Sin perjuicio que las obligaciones descritas en las secciones anteriores son —a nuestro juicio— las principales en cuanto a obligaciones de seguridad en el tratamiento de datos personales, en el texto del proyecto existen otras disposiciones cuya vinculación con las normas sobre seguridad revisadas también es relevante.

Estas disposiciones incluyen aquellas relativas a i encriptación, anonimización y seudonimización; ii el deber de protección desde el diseño y por defecto; y iii la incorporación de infracciones específicas.

Hoy muchos sistemas utilizan encriptación para proteger los datos que circulan a través de internet, mecanismo de seguridad que contemplado en nuestra legislación de manera limitada Álvarez Valenzuela, : , , nota al pie.

A diferencia de estos casos, el proyecto no se refiere a la encriptación en específico, pues se limita a señalar aquellas consideraciones que se deberán tomar en cuenta para el establecimiento de medidas de seguridad.

Sin embargo, el hecho de no señalarse en forma expresa no es óbice para su aplicación como medida de seguridad en cuanto dentro de estas «consideraciones» se debe atender al estado de la técnica y nadie podría discutir hoy que el cifrado no forma parte de éste Room, : Procedimiento irreversible en virtud del cual un dato personal no pueden vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona.

Un dato que ha sido anonimizado deja de ser un dato personal. Bajo la definición, el proyecto revoca al tratamiento de datos anonimizados de su carácter de tratamiento de datos personales, dejándolo fuera de la aplicación de la norma Vergara Rojas, : Este procedimiento es contemplado en distintas partes del texto legal, incluyendo: i la aplicación del principio de proporcionalidad cuando los datos personales deben ser cancelados o anonimizados al haber transcurrido el tiempo necesario para cumplir con los fines del tratamiento; y ii cuando los responsables deben cancelar o anonimizar los datos personales de un titular cuyos datos fueron obtenidos para la ejecución de medidas precontractuales.

Tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.

Si bien el texto define este concepto, no se incluye una regulación específica al respecto. Mientras que un responsable tiene la forma de cruzar los datos para identificar a las personas, introduce medidas técnicas y organizativas para mantener la información relevante adicional y que permite el cruce, separada, de forma que quienes operan con la información seudonimizada no pueden identificarlas.

Se ha entendido a la seudonimización como un procedimiento que permite colaborar en el cumplimiento a las obligaciones de seguridad y de privacidad desde el diseño y por defecto que impone la ley Aparicio Vaquero, : Por último, cabe destacar que un dato seudonimizado sigue siendo personal para el responsable y, por lo tanto, sujeto a las obligaciones que establece el proyecto para su tratamiento.

Este deber constituye una novedad relevante en el proyecto cuyo origen se encuentra en el RGPD. El responsable debe aplicar medidas técnicas y organizativas apropiadas con anterioridad y durante el tratamiento de datos con el fin de cumplir los principios del tratamiento de datos y los derechos del titular establecidos en esta ley.

Las medidas deben ser adoptadas considerando el estado de la técnica, los costos de implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos.

El responsable de datos deberá aplicar las medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para los fines específicos y determinados del tratamiento.

Esta obligación se aplicará al número de datos recogidos, a la extensión del tratamiento, al plazo de conservación de los datos y a su accesibilidad. Según se puede apreciar, el primer inciso del artículo se refiere al deber de protección desde el diseño, en virtud del cual el responsable debe aplicar medidas de protección de datos personales antes y durante el tratamiento.

Se busca que el responsable tome un papel preventivo y proactivo, incorporando la protección de los datos a lo largo de todo el ciclo de vida del tratamiento, por ejemplo, desde la creación de un nuevo producto o servicio.

En este caso, el legislador no establece medidas específicas de protección, sino que requiere que el responsable aplique un cierto procedimiento que asegure que nuevos tratamientos se hagan desde el comienzo bajo una perspectiva de protección de datos Hartzog, El inciso segundo se refiere al deber de protección por defecto, en el cual el responsable deberá aplicar medidas para que el tratamiento de datos se limite a aquéllos que sean necesarios para la finalidad perseguida.

De acuerdo con Hartzog , esta obligación —a nivel del RGPD— establece tanto un control obligatorio en el proceso de diseño, como la obligación de que las opciones que otorguen mayor protección de datos personales deben ser ofrecidas y activadas por defecto.

Para el proyecto, serán infracciones graves multa de a 5. Se considerará infracción gravísima multa de 5. Este nuevo catálogo de multas constituye una importante novedad tanto por la amplitud de los casos en los que aplican, como por los montos asociados. Cabe señalar que el régimen vigente de la Ley Para materializar estas infracciones en sanciones efectivas, el proyecto contempla dos tipos de procedimientos, uno administrativo y uno posterior de tipo judicial.

Se espera que la creación de este procedimiento administrativo supla las deficiencias del sistema vigente bajo la Ley Por lo demás, en el cumplimiento de las obligaciones de seguridad, los responsables y mandatarios deberán recurrir al conocimiento técnico existente en seguridad de la información, lo cual otorgará más certeza a los jueces y a la futura autoridad respecto de la configuración de un incumplimiento Room, : ; Vergara Rojas, : Finalmente, el proyecto contempla una serie de facultades de auditoría a favor del Consejo para fiscalizar el cumplimiento de las normas sobre tratamiento de datos por parte de los responsables y mandatarios, mecanismo que los autores han indicado como relevante para la efectividad de las normas sobre notificación de brechas de seguridad Laube y Böhme , : ; Sullivan y Leigh Maniff , : La relevancia que ha adquirido el tratamiento masivo de datos personales, en conjunto con el incremento de los incidentes de seguridad vinculados a ellos, ha generado que la necesidad de avanzar en mejor regulación en materia de obligaciones de seguridad de datos personales sea un tema relevante para la protección de los derechos fundamentales en nuestro país.

Bajo este panorama, a lo largo de este trabajo revisamos someramente la protección de datos personales y las obligaciones de seguridad desde una mirada de garantías fundamentales, la que se puede construir a partir de distintos instrumentos internacionales y lo dispuesto en nuestra Constitución.

A continuación, pasamos a explorar una revisión general de este tema desde el ámbito de la ciberseguridad. Posteriormente, examinamos las obligaciones de seguridad que establece el ordenamiento jurídico chileno para el tratamiento de datos personales, en particular en la Ley En esta sección, vimos algunas de las deficiencias que se le han atribuido a estos cuerpos normativos, y las razones de por qué no estarían resultando eficaces en la actualidad.

Luego, pasamos a revisar la nueva regulación sobre obligaciones de seguridad que introduce el proyecto que busca modificar la Ley Esta última es de gran importancia al constituir la primera obligación de este tipo en la legislación nacional y que, bajo el contexto tecnológico y de amenazas de ciberseguridad, hacen que su promulgación sea apremiante.

Pudimos advertir también que la regulación sobre obligaciones de seguridad dispuesta en el proyecto es de carácter común y general para todas las categorías de datos personales que se traten. Esto, sin perjuicio de establecer la notificación de vulneraciones a los titulares en el caso de que éstas se refieran, entre otros, a datos personales sensibles, como los relativos a la salud.

Además de estas obligaciones, identificamos —como elementos relevantes desde un punto de vista de seguridad de datos personales— aquellas disposiciones del proyecto relativas a encriptación, anonimización y seudonimización; el deber de protección desde el diseño y por defecto; y la incorporación de infracciones específicas.

En cuanto a estas nuevas obligaciones, advertimos que los autores del proyecto han tomado varios elementos del Reglamento General de Protección de Datos y han agregado otros nuevos. En términos generales, vemos que ellas están bien encaminadas y constituyen un avance importante respecto de las obligaciones hoy existentes.

No obstante, identificamos ciertos puntos cuya mejora o mayor precisión permitirá establecer obligaciones más claras y eficientes tanto para los obligados como para la futura autoridad de control, lo que incluye la necesidad de generar coherencia entre las funciones que los responsables y mandatarios tendrán frente a la notificación de una misma brecha de seguridad.

Álvarez Valenzuela, D. Revista de Derecho Coquimbo. Revista Chilena de Derecho y Tecnología. Revista de Derecho Público. Derecho PUCP. Ciberseguridad y derechos humanos en América Latina. En del Campo, A eds. Anguita, P. La protección de los datos personales y el derecho a la vida privada: Régimen jurídico, jurisprudencia y derecho comparado.

Santiago: Legal Publishing [ Links ]. Aparicio Vaquero, J. Ars Iuris Salmanticensis: Tribuna de Actualidad. Bachelet, M. Human rights in the digital age: Can they make a difference. Barros Bourie, E. Revista de Derecho, Universidad Católica del Norte.

Cerda, A. Legislación sobre protección de las personas frente al tratamiento de datos personales. Material de estudio del Centro de Estudios en Derecho Informático, Facultad de Derecho, Universidad de Chile.

Revista de Derecho de la Pontificia Universidad Católica de Valparaíso. Contreras Vásquez, P. Corral Talciani, H. Revista Chilena de Derecho. De los derechos de las personas sobre los responsables de bancos de datos: el habeas data chileno.

En Wahl Silva, J eds. Santiago: Universidad de los Andes [ Links ]. Donoso Abarca, L. El problema del tratamiento abusivo de los datos personales en salud. En Reflexiones sobre el uso y abuso de los datos personales en Chile.

Santiago: Ediciones Universidad Diego Portales [ Links ]. Tratamiento de datos personales en internet: Los desafíos jurídicos en la era digital. Eterovic Barreda, P. Acceso a la ficha clínica en el derecho chileno. Santiago: Ediciones Jurídicas de Santiago [ Links ]. Granados Paredes, G. Revista Digital Universitaria.

GT29, G. Hamelink, C. La ética del ciberespacio. Ciudad de México: Siglo XXI [ Links ]. Hartzog, W. Cambridge: Harvard University Press [ Links ]. Hutter, D. Physical security and why it is important. Information Security Reading Room. SANS Institute. Jijena Leiva, R. Comercio electrónico, firma digital y derecho: Análisis de la Ley Santiago: Jurídica de Chile [ Links ].

Kuner, C. International Data Privacy Law. Laube, S. Journal of Cybersecurity. Lehuedé, H. Corporate governance and data protection in Latin America and the Caribbean. Economic Commission for Latin America and the Caribbean. Maqueo Ramírez, M.

Revista de Derecho Valdivia. Muñoz Cordal, G. Novoa, E. Derecho a la vida privada y libertad de información. OCDE, O. The OECD Privacy Framework. Managing digital security and privacy risk. OECD Digital Economy Papers Roles and responsibilities of actors for digital security.

Pavlovic Jeldres, S. Acceso a la información personal de salud y su protección. Superintendencia de Salud, Comisión de Salud, Honorable Cámara de Diputados. Quezada, F. sin fecha. Ramírez, T. Room, S. Security of personal data.

En European data protection: Law and practice. Portsmouth: International Association of Privacy Professionals [ Links ]. Schneier, B. Data and Goliath: The hidden battles to collect your data and control your world.

Nueva York: W. Smedinghoff, T. Michigan State University College of Law Journal of International Law. Sotomayor Saavedra, M. Revista Redbioética.

Sullivan, R. Economic Review, Federal Reserve Bank of Kansas City. El hospital se da cuenta unos días más tarde. En cuanto el hospital se da cuenta, tiene 72 horas para informar a la autoridad de control y, como la información personal contiene información sensible, como si un paciente tiene cáncer, una paciente está embarazada, etc.

En este caso, no está claro si el hospital ha aplicado las medidas de protección técnicas y organizativas apropiadas; si hubiera aplicado las medidas de protección apropiadas como el cifrado de los datos , no existiría la probabilidad de que se concretizara el riesgo y podría quedar exento de notificarlo a los pacientes.

La empresa debe notificar a los clientes y después puede tener que notificar a la APD y las personas Un servicio en la nube pierde varios discos duros con datos personales de varios de sus clientes, por lo que debe notificar a estos clientes en cuanto tenga conocimiento de la violación de la seguridad.

Sus clientes deberán notificar a la APD y las personas en función de los datos que fueron tratados por el encargado del tratamiento. The data included the personal addresses, family composition, monthly salary and medical claims of each employee.

In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.

The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc.

In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures for example encrypting the data , a material risk would be unlikely and it could be exempt from notifying the patients.

Company must notify clients and they may then have to notify the DPA and individuals A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.

Es una excelente manera de identificar las vulnerabilidades antes de tiempo y diseñar un plan para solucionarlas. Si hay fallos en los sistemas operativos, problemas con incumplimientos, el código de ciertas aplicaciones u otros problemas similares, un administrador de red experto en pruebas de intrusión puede ayudarte a localizar estos problemas y aplicar parches para que tengas menos probabilidades de tener un ataque.

Las pruebas de intrusión implican la ejecución de procesos manuales o automatizados que interrumpen los servidores, las aplicaciones, las redes e incluso los dispositivos de los usuarios finales para ver si la intrusión es posible y dónde se produjo esa ruptura. A partir de esto, pueden generar un informe para los auditores como prueba de cumplimiento.

Una prueba de intrusión completa puede ahorrarte tiempo y dinero al prevenir ataques costosos en áreas débiles que no conoces. El tiempo de inactividad del sistema puede ser otro efecto secundario molesto de ataques maliciosos, por lo que hacer pruebas de intrusión con regularidad es una excelente manera de evitar problemas antes de que surjan.

Hay una línea aún más holística de defensa que se puede emplear para mantener los ojos en cada punto de contacto. Es lo que se conoce como Información de Seguridad y Gestión de Eventos SIEM. SIEM es un enfoque integral que monitoriza y reúne cualquier detalle sobre la actividad relacionada con la seguridad de TI que pueda ocurrir en cualquier lugar de la red, ya sea en servidores, dispositivos de usuario o software de seguridad como NIDS y firewalls.

Los sistemas SIEM luego compilan y hacen que esa información esté centralizada y disponible para que se pueda administrar y analizar los registros en tiempo real, e identificar de esta forma los patrones que destacan.

Estos sistemas pueden ser bastante complejos de configurar y mantener, por lo que es importante contratar a un experto administrador SIEM. Internet en sí mismo se considera una red insegura, lo cual es algo que puede asustar cuando nos damos cuenta que actualmente es la espina dorsal de muchas de las transacciones de información entre organizaciones.

Para protegernos de que, sin darnos cuenta, compartamos nuestra información privada en todo Internet, existen diferentes estándares y protocolos de cómo se envía la información a través de esta red.

Las conexiones cifradas y las páginas seguras con protocolos HTTPS pueden ocultar y proteger los datos enviados y recibidos en los navegadores. El software anti-malware y anti-spyware también es importante.

Está diseñado para supervisar el tráfico de Internet entrante o el malware como spyware, adware o virus troyanos. Se pueden prevenir ataques de ransomware siguiendo buenas prácticas de seguridad, como tener software antivirus, el último sistema operativo y copias de seguridad de datos en la nube y en un dispositivo local.

Sin embargo, esto es diferente para organizaciones que tienen múltiple personal, sistemas e instalaciones que son susceptibles a ataques.

Los usuarios reales, junto con los dispositivos que usan para acceder a la red por ejemplo, teléfonos móviles, ordenadores portátiles o sistemas TPV móviles , suelen ser el eslabón más débil de la cadena de seguridad. Se deben implementar varios niveles de protección, como tecnología de autorización que otorga acceso a un dispositivo a la red.

Dentro de la seguridad de punto final hay otra estrategia de seguridad de datos importante: la prevención de pérdida de datos DLP. Esencialmente, esto abarca las medidas que se toman para asegurar que no se envían datos confidenciales desde la red, ya sea a propósito, o por accidente.

Puede implementarse software DLP para supervisar la red y asegurarse de que los usuarios finales autorizados no estén copiando o compartiendo información privada o datos que no deberían. A pesar del aumento en la adopción de la nube, muchas compañías siguen dudando en seguir adelante con esa transición debido a preocupaciones acerca de su seguridad.

Estas preocupaciones van desde la privacidad de los datos hasta la pérdida de datos y brechas. Por estas razones hay algunas organizaciones que siguen dudando en transferir el control de sus datos a los proveedores de la nube.

En realidad estas preocupaciones son exageradas. Veamos por qué :. Para que los proveedores de la nube tengan éxito, deben administrar grandes volúmenes de datos.

Esta capacidad requiere el empleo y la formación de grandes equipos específicamente capacitados para administrar, asegurar y operar una gigantesca infraestructura de nube y los datos alojados en su interior.

La cantidad de experiencia necesaria para administrar una nube eclipsa la experiencia que la mayoría de las empresas individuales pueden tener. La experiencia que se encuentra en los proveedores de servicios gestionados por la nube está muy centrada en la seguridad de datos.

Como resultado, los contratiempos debido a la falta de experiencia en seguridad en la nube están fuera de toda cuestión y la infraestructura de la nube está adecuadamente protegida contra vulnerabilidades.

La mayoría de soluciones locales se desarrollan a lo largo de años, a veces hasta décadas. Cuando surgen inquietudes y nuevos requisitos, los arquitectos y los gestores de soluciones se ven obligados a mejorar y actualizar sus sistemas.

Este ciclo de desarrollo es similar para soluciones en la nube con una diferencia importante: la seguridad se desarrolla en la solución desde el principio. Especialmente en sistemas heredados más antiguos, algunas de las preocupaciones de seguridad de datos de hoy en día no fueron consideradas en sus etapas iniciales de despliegue.

Todo en una infraestructura de nube, desde las soluciones de software hasta los sistemas de monitorización y los procesos de administración de la infraestructura, están diseñados pensando en la seguridad de datos.

Para muchos sistemas in situ, la seguridad puede haber sido una idea de última hora. Si un proveedor de la nube es serio acerca de la seguridad de datos, esa seriedad se extiende a la auditoría continua, monitorización y pruebas de seguridad de todos los aspectos operacionales de la infraestructura.

Además de garantizar una mayor fiabilidad de las soluciones, la auditoría continua garantiza que todo el software se actualiza a la última versión, se identifican y resuelven todas las anomalías en el rendimiento del sistema y se cumplen todos los requisitos de cumplimiento de seguridad. La monitorización constante asegura que cualquier comportamiento irregular sea inmediatamente identificado e investigado.

La infraestructura de la nube se desarrolla pensando en automatización: menos intervención manual en funciones de rutina y menos oportunidades para que se cometan errores. Los servicios en la nube realizan un número limitado de tareas por diseño. La mayoría de las tareas abren una instancia virtual y cierran esa instancia.

Estas tareas están estandarizadas, al igual que la mayoría del hardware, equipos de red, aplicaciones y sistemas operativos utilizados para realizar esas tareas.

Esta estandarización facilita la seguridad de las infraestructuras cloud. Debido a las mayores economías de escala involucradas, los principios de automatización y repetibilidad son esenciales en la implementación de nuevos sistemas.

Una preocupación importante es la pérdida de control de datos para las empresas si los datos se encuentra fuera de su firewall. Este control se extiende a la creencia de que algunos empleados del proveedor de la nube tienen acceso general a sus datos confidenciales.

Un proveedor de cloud gestionado adecuadamente tendrá varios roles compartiendo responsabilidades para toda la solución cloud sin que ninguna persona tenga acceso total a todos los componentes de la solución. En otras palabras, ninguna persona tiene el nivel de acceso necesario para amenazar la seguridad o confidencialidad de los datos de un cliente.

La idea de que las infraestructuras locales son más seguras que las infraestructuras en la nube es un mito. El acceso físico no autorizado a los centros de datos en la nube es extremadamente raro. Las peores infracciones ocurren detrás de los firewalls de las empresas y de sus propios empleados.

Los datos en una nube pueden residir en cualquier número de servidores en cualquier número de ubicaciones, en lugar de un servidor dedicado dentro de la red local. El acceso físico a los sistemas ya no es una preocupación válida.

Las economías de escala requeridas por los proveedores de la nube han mostrado un menor número de interrupciones del servicio y recuperaciones más rápidas, reduciendo el tiempo de inactividad sufrido por los clientes de la nube.

Los niveles más altos de automatización, normalización y auditoría garantizan que las firmas de virus y los parches de seguridad se actualizan rápidamente en toda la red: a menudo mucho más rápido que de lo que el personal de TI local puede realizar.

Las mejores soluciones de seguridad ayudan a las organizaciones a reducir el riesgo de seguridad de datos, respaldan las auditorías para el cumplimiento con regulaciones y privacidad, frenan el abuso de información privilegiada y protege los datos confidenciales y confidenciales. A pesar de la inversión de miles de millones de dólares en seguridad de la información y gobierno de datos , muchas organizaciones todavía luchan por comprender y proteger sus activos más valiosos: datos confidenciales y sensibles.

La mayoría tienen poca confianza en cuanto a su ubicación, riesgo y crecimiento. Además, no entienden quién está accediendo a los datos, cómo están protegidos y si hay un uso sospechoso de ellos. Comprender el riesgo de los datos sensibles es clave.

El análisis de riesgo de datos incluye descubrir, identificar y clasificarlo, por lo que los administradores de datos pueden tomar medidas tácticas y estratégicas para asegurar que los datos sean seguros.

Las implicaciones y los costes de las brechas de seguridad de datos son noticia de primera plana y abarcan todo, desde la pérdida de puestos de trabajo hasta la pérdida de ingresos e imagen. A medida que el volumen y la proliferación de datos continúan creciendo, los enfoques de seguridad tradicionales ya no ofrecen la seguridad de datos necesaria.

En este caso, la empresa textil debe informar a la autoridad de control de la violación de la seguridad. Dado que incluyen datos personales sensibles, como los datos sanitarios, la empresa también debe notificarlo a los empleados. Un empleado de un hospital decide copiar la información de los pacientes en un CD y la publica en internet.

El hospital se da cuenta unos días más tarde. En cuanto el hospital se da cuenta, tiene 72 horas para informar a la autoridad de control y, como la información personal contiene información sensible, como si un paciente tiene cáncer, una paciente está embarazada, etc. En este caso, no está claro si el hospital ha aplicado las medidas de protección técnicas y organizativas apropiadas; si hubiera aplicado las medidas de protección apropiadas como el cifrado de los datos , no existiría la probabilidad de que se concretizara el riesgo y podría quedar exento de notificarlo a los pacientes.

La empresa debe notificar a los clientes y después puede tener que notificar a la APD y las personas Un servicio en la nube pierde varios discos duros con datos personales de varios de sus clientes, por lo que debe notificar a estos clientes en cuanto tenga conocimiento de la violación de la seguridad.

Sus clientes deberán notificar a la APD y las personas en función de los datos que fueron tratados por el encargado del tratamiento. The data included the personal addresses, family composition, monthly salary and medical claims of each employee.

In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc.

In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures for example encrypting the data , a material risk would be unlikely and it could be exempt from notifying the patients.