En días recientes atendí una llamada del representante legal de una empresa y la primera frase que me dijo — que quizá es uno de los miedos más latentes de cualquier empresario en la actualidad—: “me hackearon”.
Luego de ello vino una serie de preguntas y respuestas que me dejo ver rápidamente que no se encontraban preparados en temas tecnológicos, y mucho menos legales, para atender una contingencia de esta magnitud.
En la actualidad un incidente cibernético no sólo es un tema “exclusivo” del área de TI, pues también llega a impactar legal, reputacional, comercial y financieramente a la empresa.
En México, si bien no contamos oficialmente con una Ley de Ciberseguridad que pueda auxiliarnos en estas situaciones de crisis, sí tenemos un marco normativo claro cuando el incidente involucra datos personales en posesión de particulares, en este caso, regulados por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
Con lo anterior, se propone una ruta orientativa de actuación basada en el marco regulatorio vigente, que proteja a la empresa, reduzca la exposición jurídica y cumpla con las obligaciones de notificación y seguridad que exige la normativa.
Todo lo que debes saber, antes de caer en pánico
1. El punto de partida legal
La seguridad de datos personales es una obligación preventiva, previa a cualquier incidente, y no solo reactiva.
Esto es, previo al incidente (y especialmente durante), la LFPDPPP obliga a todo responsable a establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger datos personales contra daño, pérdida, alteración, destrucción y tratamiento no autorizado.
Lo anterior es el estándar mínimo de diligencia, ya que el propio Reglamento de la Ley indica que, las medidas deben definirse con un enfoque de riesgo.
Es importante considerar la sensibilidad del dato, consecuencias de una vulneración, desarrollo tecnológico, número de titulares, vulnerabilidades previas, etc.
Por ello, si la empresa trata datos personales (clientes, empleados, prospectos, proveedores, etc.), debe tener una estrategia de respuesta ya diseñada, para que en el momento que se suscite el incidente se ejecute con evidencia.
2. ¿Qué es “vulneración de seguridad” para efectos legales?
El Reglamento establece que, las vulneraciones de seguridad deben incluir:
• Pérdida o destrucción no autorizada,
• Robo, extravío, copia no autorizada,
• Uso, acceso, tratamiento no autorizado, y
• Daño, alteración y modificación no autorizada.
Esto puede abarcar desde ransomware y exfiltración, hasta fuga por error humano, intrusión de un proveedor y/o exposición de una base de datos en la nube, entre otras.
3. El deber crítico: notificar a los titulares cuando hay afectación significativa
Sin duda este es uno de los puntos principales ante una vulneración y lamentablemente el más ignorado por las empresas, ya que un alto porcentaje de los casos, la empresa no cumple con este numeral.
No obstante, el Reglamento establece que el aviso al titular de los datos debe incluir al menos:
• Naturaleza del incidente
• Datos personales comprometidos
• Recomendaciones para proteger intereses
• Acciones correctivas inmediatas
• Medios para obtener más información
4. El error más caro: “comunicar primero” sin tener un sustento técnico-legal
En incidentes, la presión mediática empuja a publicar rápido. Pero si comunicas sin confirmar alcance, puedes minimizar indebidamente y perder credibilidad, omitir elementos mínimos del aviso exigidos por el Reglamento o generar exposición contractual-regulatoria por declaraciones inexactas.
La regla profesional es: contención + evidencia + diagnóstico + comunicación veraz, y después remediación.
Protocolo de actuación ante vulneraciones de seguridad de Datos Personales
Aquí van 8 pasos de lo que sí debes hacer:
Paso 1. Activa el “modo incidente” con mando y control
Designa un líder y un comité contingente con las siguientes áreas: TI /ciberseguridad, legal, compliance, comunicación y negocio.
Desde ese momento, asegúrate que todo quede documentado (hora de detección, sistemas afectados, decisiones, proveedores, evidencias, comunicaciones, etc.).
Paso 2. Contén sin destruir evidencia
Contener no es formatear. Aislar endpoints, revocar credenciales, cortar accesos, levantar snapshots, preservar logs, etc. Este punto es esencial si después llegas a necesitar sostener una narrativa de debida diligencia, exigir responsabilidades a un tercero y/o denunciar hechos delictivos.
Paso 3. Determina si hay datos personales involucrados (y qué tan sensibles)
Clasifica: datos de identificación, contacto, laborales, financieros, geolocalización, credenciales, etc. Si hay datos sensibles, el riesgo legal y sancionatorio sube (y en materia penal, incluso se prevé duplicación de penas en ciertos supuestos).
Paso 4. Define si la afectación es “significativa” y documenta por qué
La obligación de informar al titular se activa cuando la vulneración afecta significativamente sus derechos patrimoniales o morales. Aquí tu defensa no es una mera opinión; es un expediente: volumen de registros, posibilidad de fraude, robo de identidad, impacto en confidencialidad, etc.
Paso 5. Prepara y ejecuta la notificación a titulares cumpliendo contenido mínimo
El Reglamento de la Ley establece el contenido mínimo del aviso. Mi recomendación práctica es, agrega también (sin “sobre-comprometerte” que lo revise tú legal) un canal de atención, FAQs y medidas concretas (reset de contraseñas, alertas antifraude, monitoreo, etc.).
Paso 6. “Deten la fuga”: acciones correctivas y preventivas obligatorias
El Reglamento exige analizar causas e implementar acciones correctivas, preventivas y de mejora para evitar recurrencia, importante atender este punto con un sólido plan de trabajo ya que, esto conecta con la necesidad de evidenciar medidas de seguridad adecuadas (LFPDPPP) y mejora continua (Reglamento).
Paso 7. Revisa contratos y responsabilidades con terceros
Muchos incidentes vienen por proveedores: CRM, nómina, call centers, marketing, cloud, etc. Revisa: cláusulas de seguridad, subcontratación, SLAs, auditorías, notificación de incidentes, cooperación forense y obligaciones de confidencialidad (la LFPDPPP exige controles para que quienes intervienen guarden confidencialidad).
Paso 8. Evalúa frentes de responsabilidad: administrativo, civil y penal
No lo olvides, la LFPDPPP contempla un esquema de sanciones administrativas. Además, el propio texto legal prevé delitos relacionados con tratamiento indebido de datos personales en supuestos específicos (por ejemplo, provocar una vulneración con ánimo de lucro estando autorizado para tratar datos).
No todos los incidentes “son delito”, pero sí deben analizarse para decidir denuncia, estrategia y contención reputacional.
Es así que la preparación jurídica constituye una ventaja competitiva.
Finalmente, la respuesta correcta ante una vulneración no se mide solo por “volver a operar”, sino por:
• Contar con protocolos de actuación ante vulneraciones
• Cumplir deberes de seguridad (medidas administrativas, técnicas y físicas)
• Notificar a titulares cuando corresponde y con el contenido suficiente
• Documentar decisiones y evidencias
• Corregir y prevenir para evitar reincidencia
Llevando a cabo estas acciones, construyes confianza con clientes, inversionistas y aliados.
Por: Erick Tavares, co-fundador de Tavares & Tavares Law Firm