![Page 1: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/1.jpg)
INCIDENTE DE SEGURIDAD EN 72 HORAS!
Notificaciones y la Seguridad de los Datos
Hugh Stevenson Director Adjunto,
Oficina de Asuntos Internacionales Comisión Federal de Comercio
Santa Marta, Colombia 7 junio 2018
![Page 2: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/2.jpg)
Introducción a la FTC
• Una agencia independiente de desde hace >100 anos.
• Regula grandes franjas del sector comercial.
• La misión incluye la protección al consumidor; la privacidad es parte de esa misión.
![Page 3: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/3.jpg)
Nuestras Herramientas
• Casos • Conferencias • Estudios & Informes • Materiales educativos • Iniciativas internacionales
![Page 4: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/4.jpg)
![Page 5: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/5.jpg)
Seguridad de los Datos • La FTC ha llevado mas de 60 casos sobre la
seguridad de los datos. • Ejemplos recientes: Venmo BLU Products Lenovo Uber D-Link
![Page 6: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/6.jpg)
Medidas de Seguridad
“Los datos personales deberían ser protegidos por medidas de seguridad razonables contra tales riesgos como la perdida, acceso no autorizado, destrucción, uso, modificación, o divulgación de datos.” OCDE
![Page 7: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/7.jpg)
Una breve reseña de los antecedentes sobre la leyes de notificación
• 2000: California • 2005: Nueva York • 2007: Massachusetts • 2009: Regla para expedientes de salud (FTC) • 2018: 50 estados • 2018: RGPD
![Page 8: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/8.jpg)
¿Cuáles son los propósitos de una ley de notificación?
• Permitir a individuos tomar medidas para protegerse contra las consecuencias de la filtración.
• Proporcionar a las autoridades información para determinar si deberían investigar el incidente o tomar otra acción.
• Crear un incentivo para adoptar medidas de seguridad apropiada para los datos.
![Page 9: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/9.jpg)
Notificaciones
Cuestiones claves: • Que desencadena la notificación? • Cuando hay que dar la notificación? • A quien la notificación? • Que sanciones para faltas de notificación?
![Page 10: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/10.jpg)
California Cal. Civ. Code § 1789.80 et seq. (2000) • La intención de la estatua: “proporcionar
seguridad razonable” • Cuando?
– Creencia razonable de acceso no autorizado – “en el tiempo lo mas expeditivo posible, sin
dilación indebida,” – Conforme a las necesidades del orden publico
![Page 11: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/11.jpg)
California
A quien? • Residentes de CA cuyos datos fue
comprometidas • Fiscal General, si 500+ residentes de CA
afectados • Terceros en circunstancias determinadas
![Page 12: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/12.jpg)
RGPD: artículos claves
• 4(12): definición de “«violación de la seguridad de los datos personales»
• 32: Seguridad del tratamiento • 33: Notificación de una violación de la
seguridad de los datos personales a la autoridad de control
• 34: Comunicación de una violación de la seguridad de los datos personales al interesado
![Page 13: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/13.jpg)
Artículo 32 Seguridad del tratamiento
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos . . . el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo . . . .” (énfasis añadido)
![Page 14: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/14.jpg)
RGPD 4(12)
• «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”
![Page 15: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/15.jpg)
Artículo 33 Notificación a la autoridad de control
• “sin dilación indebida” • Si posible, a más 72 horas después de que se
haya tenido constancia de la violacion • a menos que sea improbable que dicha
violación constituya un riesgo para los derechos y las libertades
![Page 16: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/16.jpg)
Artículo 33 Notificación a la autoridad de control
“Constancia de la violación” (GT29, #250) • “Grado razonable de certeza” que se ha
ocurrido una violación • periodo corto de investigación para establecer
si una violación de hecho ha ocurrido
![Page 17: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/17.jpg)
Artículo 34 Comunicación de una violación de la seguridad de los datos personales al
interesado
• “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades …”
• “sin dilación indebida. “ • Con excepciones.
![Page 18: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/18.jpg)
• Guías practicas para empresas – Como preparar para los incidentes – Que hacer para investigar un incidente – Que hacer para arreglar vulnerabilidades – Que hacer para ayudar a los victimas
• Regla para notificaciones en cuanto a expedientes de salud (“health data breach rule”): Cuando? – Notificaciones dentro de 10 días cuando 500+ – 60 días si menos
• Recomendaciones legislativas
FTC
![Page 19: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/19.jpg)
Materiales educativas para empresas
![Page 20: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/20.jpg)
Ayuda para consumidores
![Page 21: INCIDENTE DE SEGURIDAD EN 72 HORAS! · 2018. 6. 20. · INCIDENTE DE SEGURIDAD EN 72 HORAS! Notificaciones y la Seguridad de los Datos Hugh Stevenson Director Adjunto, Oficina de](https://reader033.vdocuments.us/reader033/viewer/2022060913/60a7c2c016d05748cf0c2e38/html5/thumbnails/21.jpg)
¡Gracias! Hugh Stevenson Comisión Federal de Comercio
Las opiniones expresadas aquí son del orador y no reflejan necesariamente las opiniones de la Comisión Federal de Comercio o cualquier Comisario individual.
21