La plantilla está configurada de tal forma que la información reunida se puede compartir sin necesidad de ser anonimizada o agregada, ya que no será posible identificar a una empresa a través de la información que envió.

El Reglamento General de Protección de Datos (GDPR) se aplicará a partir del 25 de mayo de 2018. Obligará a las empresas que procesan datos personales a cumplir con las nuevas y más estrictas normas de protección de datos. Una obligación será que las empresas notifiquen violaciones de datos (personales) a la autoridad supervisora ​​competente.

Las empresas deberán presentar la información pertinente sin demora indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de la infracción. Dicha información incluye la naturaleza del incumplimiento, las categorías y el número aproximado de los interesados ​​y de los registros de datos personales afectados, las posibles consecuencias y las medidas adoptadas para abordar y mitigar el incumplimiento.

Insurance Europe ha desarrollado una plantilla como una forma posible de cumplir con esta obligación. La plantilla sugerida podría ser de particular interés para las PYME y las autoridades de supervisión. El primero podría confiar en él en lugar de realizar un ejercicio descriptivo en medio de una violación de datos, para lo cual es posible que no tenga los recursos. Esto último podría beneficiarse de un formato estandarizado que les permita compartir datos de incidentes a través de las fronteras, para detectar mejor las tendencias y obtener información sobre la lucha contra las amenazas cibernéticas en toda Europa.

Si se usa ampliamente, la plantilla podría contribuir a mejorar la información y los datos disponibles sobre los riesgos cibernéticos, y así aumentar la ciberresiliencia de la sociedad. En la actualidad, la falta de información disponible sobre los eventos cibernéticos impide que una serie de partes interesadas desempeñen su papel en la defensa cibernética, especialmente las aseguradoras, que tienen una capacidad limitada para ofrecer cobertura de riesgos cibernéticos y servicios relacionados. Esto podría cambiar si los aseguradores tienen acceso a los datos (anónimos) que serán recopilados por las autoridades nacionales de supervisión como resultado de las disposiciones sobre violación de datos.

¿Cómo funciona?

La plantilla tiene tres secciones distintas:

1. Datos personales e información sobre la compañía afectada (no debe compartirse con terceros)
2. Detalles sobre el incidente de violación de datos según las indicaciones en el Artículo 33 del GDPR , que se enviarán a la autoridad nacional de supervisión, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de la violación
3. Una sección que debe completarse después del período de 72 horas cuando hay más información disponible sobre la violación de datos, que incluye conjuntos de datos complementarios para obtener un conocimiento más profundo de la naturaleza de la infracción

Los conjuntos de datos en las secciones 2 y 3 están redactados en forma de respuestas de opción múltiple o campos numéricos. Dicho formato ayudará a las autoridades pertinentes a comparar información entre empresas y sectores, y garantizará que la información en ambas secciones permanezca anónima y se pueda compartir de forma segura con el sector de seguros.