¿Tu empresa está obligada a notificar un data breach? La guía definitiva sobre el daño 'real y significativo' en PIPEDA
Índice de Contenidos
¿Qué es un daño 'real y significativo' en PIPEDA?
Según la Oficina del Comisionado de Privacidad de Canadá (OPC), un daño es 'real y significativo' cuando afecta la dignidad, reputación, salud, finanzas o seguridad de una persona. No basta con que haya una fuga de datos; debe haber un riesgo concreto de perjuicio.
Por ejemplo, si un empleado pierde una laptop con datos cifrados y no hay evidencia de acceso no autorizado, probablemente no se requiere notificación. Pero si se filtran números de seguro social y direcciones, el riesgo de robo de identidad es real.
El umbral de notificación obligatoria
Desde 2018, PIPEDA exige notificar a la OPC y a los afectados si es probable que el breach cause un daño real y significativo. La clave está en 'probable': no es suficiente una posibilidad remota.
La OPC evalúa factores como la sensibilidad de los datos, la cantidad de personas afectadas, la duración de la exposición y las medidas de mitigación. Si implementaste cifrado o borrado remoto, el daño puede no ser significativo.
Featured Snippet Bait
La notificación obligatoria bajo PIPEDA se activa cuando un data breach presenta un riesgo real de daño significativo, como robo de identidad o pérdida financiera. No todos los incidentes requieren notificación; solo aquellos donde el daño es probable y concreto.
Ejemplos prácticos: ¿notificar o no?
- Escenario A: Un hacker accede a una base de datos con nombres y correos electrónicos. Sin contraseñas ni datos financieros. ¿Daño real? Bajo. Probablemente no requiere notificación.
- Escenario B: Se filtran números de tarjetas de crédito y códigos CVV. El riesgo de fraude es alto. Notificación obligatoria.
- Escenario C: Un empleado envía por error un archivo con datos médicos a un destinatario equivocado. Si el destinatario no lo abrió y se elimina el archivo, el daño puede no ser significativo.
La analogía favorita de los abogados: es como si tu vecino viera tu código de tarjeta de crédito por accidente vs. que lo publique en redes sociales. La diferencia es el alcance y la intención.
Consecuencias de no notificar
No notificar un breach que cumple los requisitos puede resultar en multas de hasta $100,000 CAD por infracción. Además, el daño reputacional puede ser peor que la multa.
La OPC ha intensificado las auditorías. Si tienes dudas, notifica. Es mejor prevenir que lamentar.
FAQ
¿Qué plazo tengo para notificar un data breach bajo PIPEDA?
Debes notificar a la OPC y a los afectados tan pronto como sea posible, y en un plazo máximo de 30 días desde que tengas conocimiento del breach.
¿Qué información debe incluir la notificación?
Debe describir el incidente, el tipo de datos comprometidos, las medidas tomadas para mitigar el daño, y los pasos que los afectados pueden seguir para protegerse.
¿Están exentas las pequeñas empresas de notificar?
No. PIPEDA aplica a todas las organizaciones que recopilan, usan o divulgan información personal en el curso de actividades comerciales, sin importar su tamaño.
🔍 Checklist: ¿Debo notificar?
Selecciona los factores aplicables. Si hay al menos un riesgo alto, notifica.

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

¿Es obligatorio el botón 'Do Not Sell or Share My Personal Information' en tu web?

¿Cómo verificar la edad de los niños en Internet sin violar su privacidad? La ICO responde

¡Alerta, empresas! ANPD lanza un canal exclusivo para denunciar violaciones del ECA Digital
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora