¿En Qué Consiste La Nueva Obligación De Reportar Vulneraciones A Medidas De Seguridad En El Tratamiento De Datos Personales? - Privacy - Chile Law Articles in English - Mondaq Business Briefing - Books and Journals - VLEX 730896917

¿En Qué Consiste La Nueva Obligación De Reportar Vulneraciones A Medidas De Seguridad En El Tratamiento De Datos Personales?

Author:Mr Carlo Benussi
Profession:Carey
 
FREE EXCERPT

No es un misterio que la cuarta revolución industrial conlleva el tratamiento masivo de datos personales, los cuales, asociados a las vulnerabilidades propias de los sistemas informáticos y la falta de políticas de seguridad, generan un riesgo constante de accesos no autorizados y filtraciones de datos. La explotación de esas vulnerabilidades por agentes malintencionados puede desencadenar un daño relevante tanto para los titulares de datos afectados, como para las instituciones o empresas involucradas.

Bajo este panorama, la seguridad de los datos personales que las empresas recolectan es de extrema relevancia, y así lo han entendido los reguladores alrededor del mundo, quienes han elaborado diversas iniciativas para promover y -en algunos casos- obligar a los responsables a adoptar medidas de seguridad y de reporte de vulneraciones a autoridades y a personas afectadas.

Los autores Stefan Laube y Rainer Böhme han señalado que las vulneraciones de seguridad no sólo generan un costo a las instituciones directamente afectadas, sino que, en virtud de la interdependencia de los sistemas de información, estas pueden también llegar a afectar a otras entidades. Para ellos, este factor constituiría una externalidad negativa en la economía que justificaría la intervención del Estado (costo social) y, en consecuencia, las obligaciones de reporte de vulneraciones.

Para estos autores, las normas sobre notificación de vulneraciones a medidas de seguridad tienen dos objetivos principales: (i) otorgar información que permita a los individuos y empresas protegerse y así mitigar los efectos; y (ii) incentivar la inversión en seguridad de la información, en vista que esta clase de notificaciones pueden dañar la reputación de la empresa afectada y su valorización. Estos mismos propósitos son señalados por otros autores como Richard J. Sullivan y Jesse Leigh.

¿CÓMO SE HA REGULADO FUERA DE CHILE?

A nivel comparado, las obligaciones de reporte de este tipo no son novedad y constituyen un elemento común a la hora de establecer requisitos mínimos de seguridad involucrados en el tratamiento de datos personales.

En la Unión Europea, la obligación de notificación de vulneraciones fue establecida por primera vez en la ePrivacy Directive para el área de telecomunicaciones, específicamente respecto de proveedores de servicios de comunicaciones electrónicas. En el Reglamento General de Protección de Datos de la Unión Europea (el "RGPD") que entró recientemente en vigor, la obligación de notificar vulneraciones de seguridad es ahora general para todos los responsables y mandatarios, independientes del sector de la industria al que pertenezcan. Según señala el RGPD, el objetivo de esta obligación es que se tomen a tiempo medidas que permitan evitar que las vulneraciones ocasionen daños a los titulares de los datos (considerandos 85 a 87 del RGPD).

Estados Unidos, por su parte, fue pionero en esta clase de obligaciones con la California S.B. 1386 que data del año 2003. A la fecha, ya se han publicado leyes de este tipo en 50 estados, incluyendo el Distrito de Columbia. Estas leyes norteamericanas sobre notificación de brechas de seguridad difieren en varios aspectos, como el plazo de notificación, la forma de la notificación y el contenido de las mismas. Sin embargo, también coinciden en otros, como que la notificación sea por regla general a los sujetos afectados y, sólo bajo ciertos parámetros, a las autoridades. En Estados Unidos también existen leyes federales que contienen obligaciones sobre reporte de vulneraciones, como por ejemplo, la Ley de Transferencia y Responsabilidad de Seguro Médico ("HIPPA") y la Ley Gramm-Leach-Bliley o Ley de Modernización de Servicios Financieros ("GLBA").

En este contexto, desde hace algún tiempo los reguladores en la Unión Europea y en Estados Unidos han entendido que la obligación de implementación de medidas de seguridad en el tratamiento de datos personales no es suficiente como mecanismo de seguridad y que, aparentemente, habría una relación entre la obligación de notificación de una vulneración de seguridad con una disminución de los perjuicios asociados.

LA OBLIGACIÓN DE REPORTAR VIOLACIONES A LAS MEDIDAS DE SEGURIDAD EN EL PROYECTO DE LEY

El proyecto de reforma a la ley de protección de datos chilena incorpora una nueva obligación asociada a la seguridad de datos personales para los responsables y mandatarios: La obligación de reportar vulneraciones a medidas de seguridad. Esta obligación hasta el día de hoy es desconocida en nuestro ordenamiento jurídico. En este artículo analizamos en qué consiste...

To continue reading

REQUEST YOUR FREE TRIAL