Responsables del tratamiento de datos deberán reportar los incidentes de seguridad dentro de los 15 días hábiles siguientes a su detección

Responsables del tratamiento de datos deberán reportar los incidentes de seguridad dentro de los 15 días hábiles siguientes a su detección

Así lo recordó recientemente la Superintendencia de Industria y Comercio -SIC-, al ser consultada por un particular con relación a los incidentes de seguridad que pueden presentarse en el manejo de datos personales.

Consideraciones de la SIC

La entidad administrativa recordó, con fundamento en la normativa vigente, que es un deber tanto de los Responsables como Encargados del Tratamiento de los datos personales el establecer medidas con el fin de garantizar la seguridad de las bases de datos, y en especial que: (i) no sea adulterada la información contenida en las bases de datos, (ii) no se pierda la información de las bases de datos, (iii) no se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta a las bases de datos.

[E]s necesario aclarar que la normativa no determina de manera específica qué medidas se deben adoptar para garantizar el principio de seguridad en el tratamiento de las bases de datos, y hasta tanto no se instruya sobre la materia, corresponde a los responsables y encargados del tratamiento implementar las medidas técnicas, humanas y administrativas que resulten idóneas para la obtención de tal fin.

En consecuencia, sostiene la SIC, los responsables del tratamiento de datos personales deben implementar medidas que permitan el cumplimiento de las disposiciones contenidas en la ley de protección de datos personales, a través de un Programa Integral de Gestión de datos Personales y que además les permita demostrar la implementación apropiada y efectiva de esas medidas dentro de la organización.

De otra parte, en lo tocante a los incidentes de seguridad, la entidad recordó que estos

se refieren a cualquier evento o suceso que tengan como fin la violación de los códigos de seguridad, adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales que se encuentran en una base de datos administrada por el responsable del tratamiento o por su encargado.

El reporte de los incidentes de seguridad deberá realizarse así:

(i) Cuando el responsable del tratamiento de datos personales esté obligado a reportar sus bases de datos, tendrá que hacerlo a través del Registro Nacional de bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

(ii) Los responsables del tratamiento que no se encuentren obligados a registrar sus bases de datos en el Registro Nacional de Bases de Datos y los encargados del tratamiento, deberán hacer el reporte de los incidentes de seguridad dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos; mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones, es decir, al correo electrónico [email protected] y/o físicamente en la Carrera 13 No. 27-00 piso 1.

Consulte aquí el documento:

Compartir

  • Facebook
  • Twitter
  • LinkedIn