La Autoridad de Protección de Datos de los Países Bajos (AP) ha subrayado la importancia de las notificaciones de brechas de datos personales, después de que un estudio de 2023 revelara que muchas organizaciones no informaron a las víctimas de manera oportuna.

En una era donde los datos personales están con frecuencia expuestos debido a ciberataques y otras infracciones, las personas afectadas por estos incidentes a menudo sienten que se les deja de lado. Las organizaciones no brindan información adecuada, lo que sitúa a las víctimas en una posición de desconocimiento sobre lo sucedido con su información y las medidas que pueden tomar para protegerse, según este informe de la AP. Un estudio reciente de la AP ha resaltado estas deficiencias, enfatizando la necesidad de que las empresas mejoren la comunicación y actúen con mayor diligencia cuando suceden estos incidentes. En los Países Bajos, las compañías están legalmente obligadas a informar con prontitud a los interesados cuando tiene lugar una infracción grave de datos personales, lo cual incluye situaciones como ciberataques que comprometen bases de datos de clientes o la exposición no intencionada de información de pacientes en hospitales.

Las brechas de datos personales dejan a las víctimas expuestas a nuevos ataques sin una comunicación adecuada por parte de las organizaciones.

Cuando ocurre una brecha de datos personales, las víctimas esperan ser informadas de manera rápida y clara. Desafortunadamente, esto no siempre ocurre. Como destacó la AP, muchas organizaciones proporcionan información insuficiente a los afectados, sin explicar completamente lo que ha sucedido y cuáles podrían ser las posibles consecuencias. Esta falta de claridad puede dejar a las víctimas vulnerables a nuevos ataques, como fraudes en línea o robo de identidad, ya que no saben cómo protegerse.

Aleid Wolfsen, presidente de la AP, enfatiza la importancia de una comunicación rápida e informativa. «Un mensaje de advertencia rápido e informativo te ayuda a protegerte», señala Wolfsen. Subraya que las víctimas necesitan saber qué datos han sido robados, cuándo ocurrió la brecha y qué medidas pueden tomar para mitigar el riesgo. Con los cibercriminales volviéndose cada vez más sofisticados y agresivos, las organizaciones deben asumir una mayor responsabilidad para ayudar a las personas a proteger su información personal.

La AP realizó un estudio sobre las principales brechas de datos en 2023 que reveló retrasos en la notificación a las víctimas, subrayando la necesidad de mejorar la comunicación por parte de las organizaciones.

Para destacar la urgencia de este tema, la AP realizó un estudio detallado de más de 50 de las mayores brechas de datos que ocurrieron en 2023. Estos incidentes afectaron a alrededor de 10 millones de personas, la mayoría de las cuales fueron víctimas de ciberataques. El estudio no solo examinó la naturaleza de estas infracciones, sino también las respuestas de las organizaciones involucradas.

Los resultados fueron alarmantes. En promedio, las organizaciones tardaron más de tres semanas en informar a las víctimas sobre una brecha de datos, un tiempo excesivo considerando que los datos robados pueden ser rápidamente explotados por delincuentes. Además, casi la mitad de los mensajes de advertencia eran vagos o poco claros sobre lo sucedido, y muchos estaban redactados en un lenguaje técnico o inaccesible. Asimismo, algunos correos electrónicos carecían de urgencia o títulos alarmantes, lo que hacía que los destinatarios pudieran pasarlos por alto.

Aunque las comunicaciones de brechas de datos pueden sufrir retrasos debido a advertencias, aprobaciones e investigaciones, la AP recomienda priorizar la rapidez y la transparencia informando rápidamente a las víctimas y proporcionando actualizaciones posteriores.

A través de una encuesta anónima, las organizaciones citaron varias razones para justificar estos retrasos y la mala comunicación. Muchas admitieron que redactar mensajes de advertencia claros y sin jerga técnica era un desafío. Los procesos de aprobación que involucran a varios departamentos también contribuyeron a los retrasos, ya que los mensajes debían pasar por varias capas de burocracia antes de ser enviados. Además, algunas organizaciones prefirieron esperar hasta que las investigaciones sobre el incidente estuvieran completas antes de emitir una declaración, temiendo que publicar información incompleta demasiado pronto pudiera causar confusión.

Si bien estas preocupaciones son comprensibles, la AP aconseja que las organizaciones prioricen la rapidez y la transparencia. Incluso si no se dispone de todos los detalles, las víctimas deben ser informadas de la brecha lo antes posible para que puedan tomar medidas proactivas para protegerse. Las organizaciones siempre pueden seguir con mensajes adicionales a medida que se disponga de más información.

La AP proporcionó recomendaciones para los mensajes de notificación con el fin de ayudar a las organizaciones.

Para ayudar a las organizaciones a redactar mensajes de advertencia más efectivos, la AP ha proporcionado recomendaciones detalladas e incluso textos de ejemplo. Estas pautas enfatizan la importancia de una comunicación clara y concisa y aseguran que las víctimas estén completamente informadas de los riesgos que enfrentan. Las ocho recomendaciones clave de la AP para redactar buenos mensajes de advertencia son las siguientes:

1. Comunicar a las víctimas lo antes posible: La rapidez es fundamental. Las víctimas deben ser notificadas sin demora innecesaria para que puedan actuar de inmediato para protegerse.
2. Redactar un texto simple y claro: Evitar el uso de jerga y lenguaje complejo. Utilizar oraciones cortas, subtítulos y listas para hacer que la información sea fácil de entender. El mensaje debe ser claro inmediatamente para cualquier persona que lo lea.
3. Describir de manera clara y completa lo que sucedió: Proporcionar una explicación clara de la brecha de datos personales. Si ciertos detalles aún no están claros, se deberá informar a las víctimas cuándo estos estén disponibles.
4. Indicar claramente qué datos se han visto afectados: Ser específico sobre el tipo de datos que se han comprometido. Evitar términos vagos como “por ejemplo” o “tal como”, que pueden confundir a los destinatarios.
5. Indicar las posibles consecuencias para las víctimas: Explicar los riesgos potenciales, como el phishing o el robo de identidad. Las víctimas deben saber a qué peligros se enfrentan y cómo se podría explotar su información personal.
6. Proporcionar consejos específicos a las víctimas siempre que sea posible: Ofrecer consejos claros y prácticos sobre lo que las víctimas pueden hacer para protegerse. Por ejemplo, si se han filtrado contraseñas, instruir a las víctimas para que las cambien en todas las plataformas relevantes.
7. Describir qué medidas está tomando la organización: Informar a las víctimas sobre los pasos que la organización está tomando para abordar la brecha de datos personales y prevenir futuros incidentes. Esto ayuda a generar confianza y tranquiliza a las víctimas de que la situación está bajo control.
8. Indicar un punto de contacto al que las víctimas puedan acudir con preguntas: Las víctimas pueden tener preguntas o preocupaciones adicionales. Se recomienda proporcionar una persona o departamento de contacto donde puedan buscar más información.

Al implementar las recomendaciones de la AP cuando se enfrentan a una brecha de datos, las empresas pueden cumplir con sus obligaciones legales y demostrar su compromiso con la privacidad y la seguridad de los clientes.

Seguir estas recomendaciones garantiza que las víctimas estén bien informadas y puedan tomar medidas inmediatas para protegerse de daños adicionales. Aunque las brechas de datos son inevitables, la mala comunicación por parte de las organizaciones no tiene por qué serlo. Al implementar las recomendaciones de la AP, las empresas no solo pueden cumplir con sus obligaciones legales, sino también demostrar su compromiso con la protección de la privacidad y la seguridad de sus clientes. Las brechas de datos pueden causar daños significativos, tanto financieros como emocionales, a las personas afectadas. La responsabilidad recae en las organizaciones para mitigar ese daño comunicándose de manera rápida y clara con los sujetos. Una comunicación oportuna y efectiva puede marcar la diferencia en la protección de las personas frente a las peores consecuencias de una brecha de datos personales.

La protección de datos no es algo negociable. Aphaia garantiza excelencia en el diseño de las mejores estrategias para proteger tu información de la manera que se adapte mejor a tu empresa. Pide una consulta con nosotros y te ayudaremos a cumplir con toda la normativa aplicable. Contacta con Aphaia hoy.