Este módulo es un recurso para los catedráticos
Leyes sobre la notificación de filtración de datos
Aunque muchos países tengan leyes que exigen notificaciones sobre la filtración de datos (p. ej., Filipinas, Ley de Privacidad de Datos de 2012; Qatar, Ley n.° (13) de 2016 sobre la Protección de Datos Personales; e Indonesia, norma legal n.° 82 de 2012 sobre las Disposiciones de Sistemas Electrónicos y Transacciones y su reglamento de implementación, norma legal n.° 20 de 2016 sobre la Protección de Datos Personales en un Sistema Electrónico), estas no son obligatorias en la mayoría de países (p.ej., Argentina, Bielorrusia, Costa Rica, Egipto, Japón, Macao, Malasia, Madagascar, Mauricio, Panamá, Rusia, y Arabia Saudita) o son obligatorias para el sector privado y no para el público en otros países, o solo para ciertos sectores de la sociedad (p.ej., Angola y Serbia). En Argentina, aunque no se requiere la notificación sobre la filtración de datos, se solicita a los organismos que lleven registros de filtraciones de datos en caso se los soliciten durante una investigación o auditoría.
¿Sabían que...?
DLA Piper ha hecho un mapa mundial interactivo de leyes sobre la protección de datos, así como una base de datos consultable sobre leyes nacionales sobre la protección de datos y notificaciones de filtración de datos.
Las leyes sobre la notificación de filtraciones de datos incluyen disposiciones con relación a la aplicación de estas leyes, como las personas, organismos o autoridades a las que las leyes aplican y qué está considerado como una filtración según estas leyes. Estas leyes requieren que las entidades que hayan sido objeto de una filtración (y están contempladas por la ley) contacten a las personas u otras partes cuyos datos se han filtrado y les informen sobre el incidente.
Particularmente, estas leyes consideran la manera en la que se da una notificación, el tiempo límite para esta notificación y las personas, organismos o autoridades que se necesitan contactar por motivos de la filtración. El RGPD, por ejemplo, establece que el aviso sobre la filtración de datos debe darse obligatoriamente dentro de las 72 horas por acceso no autorizado a sistemas y datos, así como por el uso y distribución de los datos (artículo 33). Se requiere que los procesadores de datos notifiquen a los controladores sobre alguna filtración dentro de las 72 horas, y que los controladores notifiquen a la autoridad supervisora de protección de datos del Estado miembro de la UE que se haya visto afectado dentro del mismo periodo de tiempo.
Las leyes sobre la notificación de filtraciones de datos también incluyen excepciones al requerimiento de notificación. Por ejemplo, de acuerdo al RGPD, la notificación al titular de los datos depende de la gravedad de la filtración de datos (artículo 34). Algunas leyes sobre la notificación de filtraciones de datos no requieren notificación si se determina que no es probable que dañe a las partes afectadas. En otras leyes, la notificación ocurre cuando una filtración alcanza un umbral específico. En los Estados Unidos, la Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) requiere que la notificación a las partes afectadas se dé dentro de 60 días desde la filtración. Sin embargo, en casos donde se ha accedido a los datos sobre la salud de más de 500 individuos, se debe contactar a la Oficina para los Derechos Civiles del Departamento de Salud y Servicios Humanos y a los medios de comunicación dentro de los 60 días desde la filtración, mientras que cuando se filtra la información personal de salud de menos de 500 personas, los medios de comunicación no necesitan ser notificados y la Oficina para los Derechos Civiles del Departamento de Salud y Servicios Humanos debe ser contactada en un plazo máximo de 60 días después del inicio del siguiente año calendario (Revista HIPPA, 2015).
Las leyes de notificación de filtraciones de datos de otros países también requieren que las entidades que procesan los datos implanten medidas de seguridad para proteger los datos o acciones por parte de la entidad filtrada a fin de corregir la situación o remediar el daño (p.ej., Canadá, Indonesia y los Estados Unidos).
Siguiente: La aplicación de las leyes de protección de la privacidad y los datos
Volver al inicio