Política de Gestión de Incidentes y Brechas de Seguridad de Datos Personales

La Política de Gestión de Incidentes y Brechas de Seguridad de Datos Personales define cómo una organización identifica, notifica, realiza el triaje, evalúa, contiene, comunica, documenta, cierra y mejora a partir de incidentes de datos personales y brechas de seguridad de datos personales dentro del alcance del Sistema de Gestión de la Privacidad de la Información. Su finalidad declarada es garantizar que los incidentes y las brechas de seguridad se gestionen de forma coherente, rápida, lícita, segura y con evidencias preparadas para auditorías. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, y se extiende a sistemas, aplicaciones, servicios, procesos, proveedores, encargados, subencargados y terceros que traten, almacenen, transmitan, apoyen, accedan o afecten de otro modo a datos personales dentro del alcance del PIMS. Una característica central de la política es su modelo integrado de evidencias. REG10 — Registro de Incidentes y Brechas de Seguridad de Datos Personales es el objeto de evidencia principal para la gestión de incidentes y brechas de seguridad, mientras que los registros de apoyo proporcionan contexto y trazabilidad. REG01 respalda el contexto de alcance, legal, contractual, sectorial, de cliente y de notificación. REG02 vincula las actividades de tratamiento afectadas, las categorías de datos personales, las categorías de interesados, las finalidades y los sistemas. REG04 respalda la vinculación con riesgos de privacidad, EIPD y riesgo residual. REG08 registra las interfaces de incidentes con encargados del tratamiento, subencargados del tratamiento, clientes, proveedores y terceros. REG09 se utiliza cuando los incidentes afectan al tratamiento transfronterizo, REG11 respalda evidencias de formación y competencia, y REG12 captura evidencias de auditoría, no conformidad, acción correctiva y mejora. Esta estructura ayuda a garantizar que los registros de incidentes no queden aislados del PIMS más amplio. La política establece requisitos detallados de preparación, recepción y registro, clasificación, evaluación de la brecha de seguridad, contención, recuperación, notificación, comunicaciones, protección de evidencias y lecciones aprendidas. Los incidentes sospechosos de datos personales deben registrarse con prontitud; todo incidente sospechoso notificado o detectado debe incorporarse en REG10 en el plazo de un día hábil desde su recepción, o antes cuando puedan activarse plazos de notificación o de comunicación al cliente. El triaje técnico de eventos de seguridad que impliquen datos personales debe completarse en un plazo de 24 horas desde la detección, y cada entrada de REG10 debe clasificarse como evento sin datos personales, incidente sospechoso de datos personales, incidente confirmado de datos personales o brecha de seguridad de datos personales confirmada en un plazo de 24 horas desde la recepción y el registro, salvo que se documente el motivo por el que la clasificación queda pendiente. Para la evaluación de la brecha de seguridad, la política exige identificar las actividades de tratamiento afectadas, las categorías de datos personales, las categorías de interesados, los sistemas, encargados, subencargados, ubicaciones de transferencia y riesgos de privacidad antes de finalizar las decisiones de notificación. Las obligaciones de notificación y comunicación se separan por rol. Para los responsables del tratamiento, la política exige decisiones documentadas de notificación regulatoria para cada brecha de seguridad de datos personales confirmada sin dilación indebida, conservando en REG10 la notificación, la justificación de no notificar o la justificación del retraso. Cuando se active la comunicación a los interesados afectados, la política exige registrar el contenido, los destinatarios, el momento, el mecanismo de entrega y las evidencias de aprobación. Para encargados y subencargados del tratamiento, la política exige notificar a los responsables del tratamiento afectados, clientes, encargados ascendentes o canales contractuales aprobados sin dilación indebida y dentro de los plazos contractuales aplicables. Para incidentes de datos personales de alto impacto, también exige evaluar los activadores de notificación legales, sectoriales, del sector financiero, de ciberseguridad, contractuales, de cliente y de destinatarios del servicio cuando proceda. La gobernanza, la medición y la mejora están integradas en el proceso. El Responsable de Privacidad / Responsable del PIMS es propietario del proceso de gestión de incidentes y brechas de seguridad y debe garantizar que REG10 se mantenga hasta el cierre. El Coordinador de Respuesta a Incidentes gestiona la recepción y el registro, el triaje, el flujo de trabajo de contención, el seguimiento del estado, el cierre y las lecciones aprendidas. Seguridad de la Información lidera la investigación técnica, la contención, la erradicación, la recuperación, la preservación de evidencias y el análisis de causa raíz cuando intervienen sistemas o controles de seguridad. La Alta Dirección recibe el escalado de los incidentes de datos personales de alto impacto confirmados en un plazo de 24 horas desde su clasificación y revisa los incidentes de alto impacto, las brechas notificables, las acciones correctivas vencidas y los impactos materiales durante la revisión por la dirección. Las métricas incluyen volúmenes de incidentes, plazos de clasificación y contención, puntualidad de las notificaciones, antigüedad de acciones correctivas, desempeño de respuesta de terceros y finalización de ejercicios. La política también exige revisión anual, revisión posterior al incidente tras incidentes de alto impacto o brechas confirmadas, y revisión anual de auditoría interna de la implementación.