No es un misterio que la cuarta revolución industrial conlleva el tratamiento masivo de datos personales, los cuales, asociados a las vulnerabilidades propias de los sistemas informáticos y la falta de políticas de seguridad, generan un riesgo constante de accesos no autorizados y filtraciones de datos. La explotación de esas vulnerabilidades por agentes malintencionados puede desencadenar un daño relevante tanto para los titulares de datos afectados, como para las instituciones o empresas involucradas.

Bajo este panorama, la seguridad de los datos personales que las empresas recolectan es de extrema relevancia, y así lo han entendido los reguladores alrededor del mundo, quienes han elaborado diversas iniciativas para promover y –en algunos casos- obligar a los responsables a adoptar medidas de seguridad y de reporte de vulneraciones a autoridades y a personas afectadas.

Los autores Stefan Laube y Rainer Böhme han señalado que las vulneraciones de seguridad no sólo generan un costo a las instituciones directamente afectadas, sino que, en virtud de la interdependencia de los sistemas de información, estas pueden también llegar a afectar a otras entidades. Para ellos, este factor constituiría una externalidad negativa en la economía que justificaría la intervención del Estado (costo social) y, en consecuencia, las obligaciones de reporte de vulneraciones.

Para estos autores, las normas sobre notificación de vulneraciones a medidas de seguridad tienen dos objetivos principales: (i) otorgar información que permita a los individuos y empresas protegerse y así mitigar los efectos; y (ii) incentivar la inversión en seguridad de la información, en vista que esta clase de notificaciones pueden dañar la reputación de la empresa afectada y su valorización. Estos mismos propósitos son señalados por otros autores como Richard J. Sullivan y Jesse Leigh.

¿CÓMO SE HA REGULADO FUERA DE CHILE?

A nivel comparado, las obligaciones de reporte de este tipo no son novedad y constituyen un elemento común a la hora de establecer requisitos mínimos de seguridad involucrados en el tratamiento de datos personales.

En la Unión Europea, la obligación de notificación de vulneraciones fue establecida por primera vez en la ePrivacy Directive para el área de telecomunicaciones, específicamente respecto de proveedores de servicios de comunicaciones electrónicas. En el Reglamento General de Protección de Datos de la Unión Europea (el "RGPD") que entró recientemente en vigor, la obligación de notificar vulneraciones de seguridad es ahora general para todos los responsables y mandatarios, independientes del sector de la industria al que pertenezcan. Según señala el RGPD, el objetivo de esta obligación es que se tomen a tiempo medidas que permitan evitar que las vulneraciones ocasionen daños a los titulares de los datos (considerandos 85 a 87 del RGPD).

Estados Unidos, por su parte, fue pionero en esta clase de obligaciones con la California S.B. 1386 que data del año 2003. A la fecha, ya se han publicado leyes de este tipo en 50 estados, incluyendo el Distrito de Columbia. Estas leyes norteamericanas sobre notificación de brechas de seguridad difieren en varios aspectos, como el plazo de notificación, la forma de la notificación y el contenido de las mismas. Sin embargo, también coinciden en otros, como que la notificación sea por regla general a los sujetos afectados y, sólo bajo ciertos parámetros, a las autoridades. En Estados Unidos también existen leyes federales que contienen obligaciones sobre reporte de vulneraciones, como por ejemplo, la Ley de Transferencia y Responsabilidad de Seguro Médico ("HIPPA") y la Ley Gramm-Leach-Bliley o Ley de Modernización de Servicios Financieros ("GLBA").

En este contexto, desde hace algún tiempo los reguladores en la Unión Europea y en Estados Unidos han entendido que la obligación de implementación de medidas de seguridad en el tratamiento de datos personales no es suficiente como mecanismo de seguridad y que, aparentemente, habría una relación entre la obligación de notificación de una vulneración de seguridad con una disminución de los perjuicios asociados.

LA OBLIGACIÓN DE REPORTAR VIOLACIONES A LAS MEDIDAS DE SEGURIDAD EN EL PROYECTO DE LEY

El proyecto de reforma a la ley de protección de datos chilena incorpora una nueva obligación asociada a la seguridad de datos personales para los responsables y mandatarios: La obligación de reportar vulneraciones a medidas de seguridad. Esta obligación hasta el día de hoy es desconocida en nuestro ordenamiento jurídico. En este artículo analizamos en qué consiste, cómo ha sido aplicada en otras legislaciones y cuáles podrían ser los puntos donde el actual texto del proyecto podría mejorar.

El texto propuesto por el proyecto es el siguiente:

"Artículo 14 quinquies.- Deber de reportar las vulneraciones a las medidas de seguridad. El responsable de datos deberá reportar a la Agencia de Protección de Datos Personales, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable que con ocasión de estos incidentes se genere un perjuicio o afectación para los titulares.

El responsable de datos deberá registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros.

Cuando dichas vulneraciones se refieran a datos personales sensibles o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá también efectuar esta comunicación a los titulares de estos datos. Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional."

La incorporación de una obligación de notificación de vulneraciones a medidas de seguridad constituye un hito en la legislación nacional por ser la primera norma de este tipo de aplicación transversal. El tratamiento de grandes volúmenes de datos y la creciente amenaza en ciberseguridad hacen que la entrada en vigor de esta obligación sea una prioridad para nuestro país. No sólo los derechos de las personas dependen de ello, sino que incluso la confianza en la economía digital.

El enfoque adoptado por los autores del proyecto de ley toma ciertos elementos del RGPD para construir la obligación de reporte, y agrega otros nuevos.

Entre los elementos comunes con la RGPD, encontramos el hecho que la vulneración deba ser calificada previamente: Sólo las que constituyan un "riesgo de perjuicio" para titulares deba ser notificada; que la notificación por regla general se haga a la autoridad administrativa (Agencia); y que la notificación deba realizarse "sin dilaciones indebidas".

Algunos elementos novedosos son la causal de notificación a los titulares de datos cuando la afectación se presente respecto de datos sensibles o comerciales; y la ausencia de normas que configuren "puertos seguros", entre otros.

El panorama de seguridad de datos personales en el proyecto de ley no se agota con la obligación de reporte, sino que se ve complementado con disposiciones adicionales: (i) la incorporación del principio de seguridad con un contenido definido; (ii) una nueva obligación de adoptar medidas de seguridad; y (iii) cláusulas relativas al cumplimiento de las obligaciones y sanciones asociadas específicamente a las medidas de seguridad.

De la revisión de la redacción propuesta en el proyecto y de algunos antecedentes comparados, estimamos que el actual texto del artículo 14 quinquies tiene algunos aspectos que podrían ser mejorados.

COMENTARIOS Y CRÍTICAS AL TEXTO PROPUESTO EN EL PROYECTO

  1. Si tanto responsables de datos como mandatarios están obligados a la misma notificación, se pueden generar dificultades en la coordinación de respuestas frente a incidentes.

    La regulación de datos personales estructura su régimen de obligaciones según la calidad de los involucrados: Como responsables de datos o terceros mandatarios. El responsable es el principal obligado y es quien decide acerca de "los fines y medios del tratamiento de datos personales". Por su parte, el tercero mandatario es a quien se le ha encargado hacer un tratamiento de datos en nombre de un responsable (por ejemplo, el tratamiento de datos que hace la empresa encargada de la gestión del payroll de una empresa).

    El artículo 15 bis del proyecto extiende al mandatario la obligación de reportar vulneraciones, en idénticas condiciones que el responsable de datos; debiendo notificar las vulneraciones que sufran sus sistemas directamente a la Agencia o a los titulares según sea el caso.

    Sin perjuicio que es deseable que exista mayor transparencia a la hora de existir vulneraciones (sobre todo frente a responsables de datos que no quieran cumplir su obligación de reporte), una obligación de reporte idéntica para responsable y mandatario muy probablemente generará conflictos en su aplicación.El reporte de una vulneración requiere dos calificaciones: Una calificación técnica (destrucción, filtración o alteración de datos) y una calificación jurídica (riesgo razonable de perjuicios al titular). La calificación de la existencia de un riesgo razonable de prejuicios al titular debe lógicamente hacerse en consideración al tipo y calidad de datos que han sido objeto de la brecha. El encargado, en ciertas ocasiones no tiene acceso efectivo al contenido procesado. Imponerle una obligación de notificación directa de la brecha implicaría en estos casos a obligarlo a examinar el contenido de la información que procesa, lo cual puede ser impracticable técnicamente. La existencia de dos obligados a realizar estas calificaciones sobre un mismo evento puede generar graves inconvenientes y descoordinaciones en la Agencia y en los titulares de datos, quienes pueden verse enfrentados, por ejemplo, a notificaciones contradictorias o incoherentes entre sí respecto de un mismo hecho. A nuestro juicio, el único obligado a realizar estas notificaciones es quien está en mejor posición de calificar el impacto de una vulneración, y el único que siempre tiene acceso efectivo a los datos, o sea, el responsable de datos.

    Es más, la notificación de la brecha puede involucrar (como analizamos en detalle en el punto 5) la descripción de "la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros". ¿Cómo puede un mandatario que, por ejemplo, provee servicios de hosting, cumplir con esa obligación sin tener acceso directo a los datos, circunstancia que muy probablemente tiene prohibida contractualmente?

    Una aproximación razonable para este caso es la solución del RGPD, que en su artículo 33 N°2 obliga al mandatario a notificar sin dilación indebida al responsable de datos las vulneraciones de seguridad de las que tiene conocimiento. El mandatario no notifica a la autoridad ni a los titulares de datos; el responsable es quien tiene la obligación última de notificarles a ellos.

  2. El destinatario de la notificación: La notificación a la Agencia y la notificación al titular de datos

    A nivel comparado, las notificaciones de brechas de seguridad tienen como destinatario a los titulares de los datos y a ciertas autoridades administrativas. La predilección por sobre uno u otro destinatario se puede ver reflejada en las diferencias que existen entre la Unión Europea y Estados Unidos. En Europa se prefiere a la autoridad de control como la entidad encargada de recibir las notificaciones, dejando las notificaciones al titular para los casos en que la vulneración implica un riesgo mayor. Por su parte, en Estados Unidos la regla general es la contraria, se prefiere la notificación al afectado que, en ciertos casos, se complementa con una notificación a alguna autoridad.

    El proyecto sigue el modelo europeo adaptado con ciertos matices, donde se establece como regla general la notificación a la Agencia de Protección de Datos Personales para cualquier vulneración. Sólo cuando las vulneraciones involucren datos sensibles o datos de carácter económico, la notificación además debe efectuarse a los titulares afectados.

    Esta aproximación asume que las más graves afectaciones a los titulares pueden derivar de una vulneración que involucra sólo esas dos categorías de datos. Esto podría parecer a priori correcto; sin embargo, excluye casos de una vulneración que afecta datos personales no sensibles y no económicos pero que, por otros elementos ajenos al tipo de dato, igualmente suponen un grave riesgo de afectación a los derechos de los titulares.Un ejemplo de esta filtración podría ser el caso del sitio web Ashley Madison, uno de los ciberataques más notorios en último tiempo. En este caso, por una brecha de seguridad se expusieron una cantidad importante de datos personales, incluyendo correos electrónicos, nombres, nombres de usuarios, direcciones y contraseñas que identificaban a usuarios de un sitio web para concertar citas extramaritales. Estos datos no caen en la calificación del proyecto de ley, sin embargo, sería difícil decir que su vulneración no implica un grave riesgo de afectación a los titulares y que no era relevante notificarles directamente. Con el proyecto de ley, un caso similar con ese tipo de datos no desembocaría en una notificación a los titulares.En el caso del RGPD, la notificación a los titulares no distingue entre el tipo de dato afectado, sino que se aplica para cualquier categoría de dato personal. El hecho detonante, sin embargo, es que la vulneración entrañe un "alto riesgo" para los derechos y libertades de los titulares. A nuestro juicio, esta regulación podría servir para complementar la actual obligación de notificación a los titulares que se contiene en el proyecto de ley y que, finalmente, se traduciría en mayor protección a los afectados.

  3. Falta la incorporación de hipótesis de "puerto seguro" que dote de razonabilidad y eficiencia a la norma

    Tanto en Estados Unidos como en Europa existen ciertos casos donde el responsable, aun cuando ha sido afectado por una vulneración, no requiere hacer una notificación.

    En Estados Unidos, algunos estados no requieren que las empresas notifiquen vulneraciones si los datos afectados estaban encriptados, y las llaves de encriptación no fueron comprometidas. Ciertos estados no requieren notificación si la empresa está regulada por HIPPA o la GLBA, que contemplan requisitos propios de notificación. Por último, en ese mismo país la mayoría de las leyes sobre notificación de filtraciones de datos personales permiten a las empresas dilatar la notificación al titular si ello podría perjudicar una investigación criminal en curso.En el caso de la Unión Europea, el RGPD establece que la notificación al titular de datos no será requerida si: (i) el responsable ha adoptado medidas de protección apropiadas y éstas se han aplicado a los datos afectados, por ejemplo, encriptación; o (ii) si el responsable ha tomado medidas que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo para los derechos y libertades del titular.El proyecto de ley no contempla escenarios de puerto seguro como los arriba señalados. De las hipótesis comentadas, se puede advertir que existen ciertos eventos donde efectivamente una notificación puede no constituir un mecanismo necesario o apropiado para combatir una vulneración a medidas de seguridad. Por ejemplo, el caso de otras regulaciones especiales que contemplen medidas de notificación similares, o aquellos casos donde el responsable ha tomado precauciones que disminuyen o eliminan el riesgo para los titulares, como cuando los datos han sido encriptados previamente.Bajo nuestra perspectiva, la incorporación al texto del proyecto de ley de hipótesis como las señaladas podría dotar a nuestra norma de razonabilidad y eficiencia, evitando gastos innecesarios y premiando aquellos responsables que han tomado medidas de resguardo sobre los datos personales con anterioridad. Esto, considerando -sobre todo- el hecho que la aplicación de la ley de datos personales es transversal tanto para personas naturales como jurídicas, empresas de gran tamaño y pymes.

  4. ¿Bajo qué parámetros se configura la "imposibilidad de notificación al afectado" que autoriza la notificación a través de un medio de comunicación masivo?

    La imposibilidad de notificación a cada afectado puede tener varios matices según la óptica desde donde se observe. Puede ser una imposibilidad económica en el sentido que notificar a cada afectado puede implicar un costo prohibitivo para el responsable, o puede ser una imposibilidad fáctica por no tener datos de contacto suficientes donde dirigir las notificaciones. En este sentido, la actual redacción del artículo deja abierta la puerta a la interpretación sobre cuándo existe realmente esta "imposibilidad".

    Estamos de acuerdo con que la ley no puede ni debe contemplar el detalle de todas las obligaciones que establece, para ello existe el mecanismo del reglamento y la jurisprudencia. En este caso, nuestra sugerencia es optar por un criterio mixto: que la ley establezca ciertas hipótesis amplias de imposibilidad para dar mayor claridad y precisión a la norma, y que la Agencia complemente o genere nuevas hipótesis de imposibilidad derivadas del caso a caso y de los cambios tecnológicos.

    Por último, y asociado a los costos de notificar, creemos que sería adecuado establecer expresamente la posibilidad de efectuar notificaciones por medios electrónicos en la medida que fuera posible contactar a los afectados por ese medio. Esto permitirá reducir considerablemente los costos de esta gestión, pudiendo alcanzar un gran número de titulares en un plazo reducido de tiempo.

  5. Inciso segundo del artículo 14 quinquies: ¿Contenido de la notificación o contenido del registro de la notificación?

    De la lectura del artículo que dispone la obligación de reporte entendemos que el primer inciso establece la hipótesis que gatillará la notificación de la vulneración, y el segundo, la obligación de llevar un registro de las notificaciones. Si esto dispone el legislador, es válido preguntarse entonces ¿qué información tiene que contener la notificación a la Agencia?, ¿La información que el inciso segundo dice que se debe registrar?, ¿Una información diferente? En este último escenario, ¿cuál?

    Dado que no hay una mención clara al contenido, lo más lógico sería estimar que la notificación debería contemplar la información que señala el inciso segundo; sin embargo, esta norma señala "El responsable de datos deberá registrar estas comunicaciones", lo cual en estricto español nos lleva a pensar en que este registro es posterior y distinto al evento "notificación".

    El contenido de la notificación en una vulneración de seguridad es un elemento esencial que debe estar claramente definido con anterioridad. Si la intención del legislador era que la notificación comprendiere los elementos de inciso segundo y que -al mismo tiempo- el responsable mantenga un registro de ello para verificaciones posteriores, nuestra sugerencia es un texto que lo diga expresamente. Una alternativa podría ser la siguiente:El contenido de esta notificación será una descripción sobre la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros. El responsable deberá llevar en un registro los antecedentes contenidos en cada notificación.Ahora bien, en cuanto al contenido propiamente tal, creemos que hay algunos elementos que podrían incorporarse para mejorar la información que reciba la Agencia. En el caso estadounidense, el contenido habitual de las notificaciones involucra información de contacto del responsable y la fecha o fechas de la vulneración. En el caso específico del Estado de California, la notificación requiere, entre otras cosas, adjuntar un modelo de notificación para los titulares de datos, la fecha en que la vulneración fue descubierta, la fecha de notificación a los titulares, señalar si la vulneración se ha comunicado a la prensa, señalar si la vulneración se ha comunicado o no a las policías, etc.

    A nuestro juicio, estos podrían ser elementos útiles a considerar a la hora de sistematizar los mecanismos de notificación de vulneraciones, una tarea que necesariamente deberá efectuar la Agencia una vez se encuentre constituida.

CONCLUSIONES

La nueva obligación de reportar vulneraciones a las medidas de seguridad adoptadas para el tratamiento de datos constituye una incorporación normativa importante y necesaria. El contexto tecnológico y de amenazas de ciberseguridad hace que la promulgación de una norma de este tipo sea sumamente apremiante.

De acuerdo a lo observado, hay varios elementos que fueron tomados por el legislador de lo que hizo su par europeo en el RGPD, y que nos parecen constituir un buen punto de partida.

Ahora bien, hay elementos que podrían ser mejorados o precisados para tener una mejor y más clara obligación. Dada la novedad que esta norma constituye en nuestro ordenamiento y la importancia que reviste para responsables, mandatarios y titulares, es necesaria una obligación clara y realista.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.