Es crucial que las empresas consideren todas las regulaciones sobre incidentes de seguridad aprobadas en diferentes jurisdicciones. Al respecto, el 26 de abril de 2024, la Autoridad de Protección de Datos Personales de Brasil (“ANPD”) publicó la Resolución CD/ANPD N° 15 (“Resolución”), que establece nuevas directrices para la notificación de incidentes de seguridad.

Aspectos clave de la Resolución

• Definición de brecha de datos: Cualquier evento adverso confirmado relacionado con la violación de la confidencialidad, integridad, disponibilidad y autenticidad de la seguridad de los datos personales.
• Criterios para la notificación de un incidente: Un incidente debe ser notificado si:
  - La brecha puede causar o representa un riesgo significativo de daño para los intereses y derechos fundamentales de los titulares de los datos; y
  - El incidente involucra tipos específicos de datos personales, como datos personales sensibles, datos de menores o ancianos, información financiera, datos utilizados para autenticación en sistemas específicos, datos protegidos legalmente, o datos tratados a gran escala.
• Plazos de notificación:
  - Las empresas pequeñas se benefician de un plazo extendido, que es el doble del de las empresas más grandes.
  - Se podrá presentar una notificación complementaria con información adicional dentro de los veinte días hábiles.
• Métodos de notificación: Las notificaciones deben realizarse a través de un formulario en línea de la ANPD.
• Cierre del expediente: El proceso relacionado con el incidente notificado puede concluir basado en criterios específicos delineados en la resolución.
• Registro de incidentes: El responsable deberá llevar un registro de cada incidente de seguridad, inclusive aquellos que no hayan sido notificados, por un mínimo de 5 años.

Observaciones relevantes

Esta nueva regulación subraya la necesidad de que las organizaciones implementen no solo medidas de seguridad técnicas robustas, sino también protocolos de acción integrales que puedan activarse una vez que ocurra una brecha de datos. Asegurar el cumplimiento de la Resolución requerirá un enfoque proactivo hacia la seguridad de los datos.

Las organizaciones deberían considerar realizar auditorías de seguridad regulares, actualizar sus estrategias de respuesta a incidentes, implementar políticas relevantes sobre incidentes de seguridad y capacitar al personal para manejar eficazmente posibles brechas de datos.

El manejo inadecuado de un incidente puede resultar en daños legales, financieros y de reputación significativos no solo en Brasil, sino también en muchas jurisdicciones. En ese sentido, el Reglamento General de Protección de Datos de la UE también impone obligaciones estrictas sobre la implementación de medidas de seguridad, así como la notificación de brechas de datos a la Autoridad de Protección de Datos y a los individuos afectados cuando sea necesario.

Aun considerando que la actual Ley de Protección de Datos Personales de Argentina no requiere que las entidades locales notifiquen una brecha de datos, las organizaciones están obligadas a implementar medidas de seguridad robustas. En ese sentido, se considera una mejor práctica la implementación de protocolos de acción integrales para brechas de seguridad a fin de mitigar consecuencias no deseadas.

Para más información o para verificar que sus estrategias de cumplimiento están alineadas con las regulaciones y estándares internacionales, no duden en contactar a nuestro equipo. Además de asistirlos en la revisión de sus protocolos y procedimientos para cumplir con las normas existentes y proteger su negocio, entendemos la importancia de adaptarse a las amenazas digitales en constante evolución. En colaboración con socios expertos, facilitamos análisis y evaluaciones que pueden ser cruciales en el fortalecimiento de sus sistemas de seguridad, alineados con las exigencias regulatorias.