Su empresa de fitness ha sufrido una filtración de datos. ¿Y ahora qué?

Has tomado todas las medidas adecuadas para proteger los datos de los socios de tu club de salud, pero aun así se ha producido una filtración de datos. Qué hacer para minimizar los daños?

El término "violación de datos" suele ser una de las últimas cosas que un propietario u operador de un gimnasio quiere oír que ha ocurrido en su club. Es suficiente para hacer sudar al empresario más avispado. Antes de que su ritmo cardíaco salga de la zona roja, recuerde respirar. Hay algunas prácticas recomendadas que puede utilizar para responder a una violación de datos.

Usted ya había tomado todas las medidas adecuadas para proteger los datos sensibles, confidenciales o protegidos de otro modo de sus afiliados y empleados. Sin embargo, aunque lo haga todo bien, las cosas pueden salir mal. Por eso, antes de responder a una filtración de datos, es crucial entender cómo puede afectar a su negocio.

La violación de datos informáticos estresados Kaitlynn Columna de ancho

Cómo puede afectar una filtración de datos a su club de salud

La mayoría de los estados cuentan con leyes sobre la privacidad de los datos que hacen recaer la responsabilidad de salvaguardar ciertos tipos de información de los empleados y los consumidores en las empresas que la poseen. En caso de que se produzca una filtración de datos, es usted, el propietario de la empresa, quien tendrá que responder.

Las filtraciones de datos pueden costar dinero real a las empresas. El Instituto Ponemon -quehace un seguimiento del coste de las filtraciones de datos- informó de que el coste total medio de una filtración de datos en 2018 fue de 3,86 millones de dólares y el coste medio por registro robado o perdido fue de 148 dólares.

Si su club tiene 2.000 socios y la mitad de ellos son víctimas de una filtración de datos, podría costarle a su empresa hasta 148.000 dólares. Si a esto le añadimos el daño a su reputación y la pérdida de confianza de sus socios, puede empezar a ver el grave daño que una filtración de datos puede causar a su negocio.

¿Y qué hace ahora? Bueno, has descubierto el problema y, lo creas o no, ese es un gran primer paso.

Mejores prácticas en respuesta a una filtración de datos

Investigar y remediar

En cuanto tenga conocimiento de la infracción, debe iniciar una investigación. Acuda al lugar del incidente, entreviste a los empleados e intente determinar qué ha ocurrido y cómo.

Usted está tratando de determinar:

  • ¿Qué información se vio comprometida?
  • ¿Fue un hackeo (un acto intencionado con probables motivos delictivos)?
  • ¿Fue un error (por ejemplo, un empleado dejó su ordenador portátil desatendido y se lo robaron)?
  • ¿Fue un fallo del proceso (una brecha en las prácticas de seguridad comprometió la información)?

Comprender la naturaleza de la infracción le permitirá tomar medidas inmediatas para contener o remediar la situación y le ayudará a identificar los siguientes pasos apropiados.

Si su investigación le lleva a creer que ha sido víctima de un pirateo informático, debe notificarlo a la policía.

Identifique y siga las leyes estatales sobre violación de datos

No existe una ley federal que regule lo que ocurre en caso de violación de datos. La ley federal suele limitarse a sectores específicos como la sanidad y los servicios financieros. Su atención debe centrarse en conocer la legislación estatal.

Cada estado tiene una ley sobre la violación de datos que establece los pasos que las empresas deben seguir para responder a una violación de datos. Cada ley estatal es diferente, incluyendo lo que se considera información protegida -comúnmente conocida como información personal identificable (PII)- y qué actividades se consideran una violación.

Aunque las definiciones de IIP varían según el estado, suelen incluir:

  • información médica,
  • información biométrica,
  • información financiera,
  • el nombre de una persona y su número de seguridad social o de permiso de conducir.

Carolina del Norte y Dakota del Norte son buenos ejemplos de los diferentes giros que los estados pueden dar a la ley. En estos estados, la ley considera que el nombre de soltera de tu madre es una información personal, porque las cuentas bancarias y los archivos de los empleados lo utilizan con frecuencia como pregunta de seguridad.

¿La violación de datos da lugar a una notificación?

Si los datos comprometidos se consideran IIP según la ley, tiene que averiguar si su incidente es uno de los que desencadenan un requisito de notificación. Identifique qué leyes de notificación de violaciones de datos se aplican a su situación y determine si lo que ha ocurrido se considera una "violación" según la ley. Si lo es, tendrá que notificar a las personas afectadas.

Aquí es donde puede resultar un poco complicado. Las empresas deben cumplir con los requisitos de notificación basados en la ley de violación de datos del estado en el que residen las personas afectadas, tanto empleados como consumidores, y no en la ubicación de la empresa. Si las personas afectadas residen en varios estados diferentes, determinar las notificaciones adecuadas que deben enviarse puede complicarse rápidamente. Es posible que tenga que considerar la posibilidad de obtener asesoramiento legal.

"Si su club tiene 2.000 socios y la mitad son víctimas de una violación de datos, podría costarle a su negocio hasta 148.000 dólares".

Algunos estados exigen que se notifique si una persona no autorizada accede a la IIP. Un hacker o un ladrón que utilice el ordenador de un empleado robado son dos ejemplos de persona no autorizada que accede a datos protegidos.

Otros estados basan sus requisitos de notificación en lo que se denomina un "análisis de riesgo de daño". ¿Cuál es la probabilidad de que la pérdida de datos perjudique a la persona afectada? El análisis del riesgo de daño tiene en cuenta aspectos como el uso de la encriptación y otras precauciones que pueden hacer menos probable que un ladrón pueda acceder efectivamente a la IIP.

En tal caso, puede determinar que el riesgo de daño para la persona es bajo y no es necesario notificar. Si decide no notificar, normalmente tendrá que documentar esa decisión y mantenerla registrada durante un número determinado de años.

Además, asegúrese de revisar los acuerdos con sus proveedores para ver si alguna cláusula desencadena una notificación en caso de violación de datos.

Quién recibe la notificación

Si determina que debe notificar a sus afiliados una violación de datos, la ley estatal correspondiente le indicará quién debe recibir la notificación. Estas leyes también estipularán los plazos y la aplicación de la notificación. Normalmente, los estados exigen a las empresas que notifiquen por escrito a los individuos afectados. En más de 30 estados, las empresas están obligadas a notificar al fiscal general del estado o a otro organismo estatal, normalmente una agencia de protección del consumidor.

Si la información comprometida es información sanitaria protegida por la HIPAA, es posible que tenga que notificarlo al Departamento de Salud y Servicios Humanos de Estados Unidos.

Contenido de la notificación

Algunos estados exigen que se proporcione cierta información y se utilice un lenguaje específico en una notificación de violación de datos. Por ejemplo, la ley de notificación de infracciones de California describe el formato y el contenido de una notificación. Aunque los requisitos de notificación difieren de un estado a otro, como regla general, las notificaciones deben incluir:

  • Tipo de información de identificación personal violada
  • Fecha de la infracción
  • Descripción general de la infracción

Momento de la notificación

Del mismo modo, el momento de enviar una notificación varía de un estado a otro, pero los estados suelen seguir uno de los dos enfoques.

La primera exige que se notifique a las personas afectadas "en el plazo más breve posible, sin demora injustificada". El significado de esto varía en función de cada caso. Suele depender del momento en que la empresa tuvo conocimiento de la infracción y de cuándo tuvo la oportunidad de investigar.

El segundo requiere una notificación en un número determinado de días o semanas. Si el Estado exige que la empresa notifique al fiscal general del Estado o a otro organismo estatal, esa notificación suele tener que enviarse en un plazo determinado. El momento de la notificación puede retrasarse a menudo si la violación es el resultado de un presunto acto delictivo y la policía está investigando el incidente.

Aplicación de la ley

Algunos estados conceden al fiscal general el poder de hacer cumplir la ley de notificación. Esto significa que el fiscal general es responsable de determinar si la empresa ha cumplido la ley y, en caso contrario, cuál debe ser la multa.

Otros establecen un derecho de acción privado, que permite a los individuos afectados por la violación de datos demandar a la empresa responsable por daños y perjuicios, abriendo las puertas a las demandas colectivas.

Medidas de mitigación de riesgos

Has sufrido una violación de datos. Ha investigado. Ha proporcionado los avisos requeridos. ¿Y ahora qué?

El último paso es reevaluar sus prácticas y procesos de seguridad de datos. Asegúrese de que está siguiendo las mejores prácticas y refuerce cualquier área de debilidad identificada. La mejor manera de evitar el coste y el daño a la reputación de una filtración de datos es hacer todo lo posible para prevenirla desde el principio.

Artículos y publicaciones relacionados

Avatar del autor

Jeff Perkins

Jeff Perkins ocupó anteriormente el cargo de Vicepresidente de Gobernanza y Asuntos Públicos de IHRSA, centrado en supervisar e influir en la legislación a nivel estatal y federal para proteger los modelos de negocio y las operaciones de los clubes, y ayudar a promover los beneficios del ejercicio físico para la salud.