Desde el 22 de septiembre de 2022, toda empresa quebequense debe notificar los incidentes de confidencialidad a la Commission d'accès à l'information (CAI) y a las personas afectadas cuando el incidente presenta un riesgo de perjuicio serio. La omisión de aviso es en sí misma una violación de la ley, independientemente del incidente inicial.
Este capítulo describe el procedimiento paso a paso, con los plazos y las herramientas que deben estar listas antes de que ocurra un incidente.
¿Qué es un incidente de confidencialidad?
El artículo 3.6 de la LPIPSP define un incidente de confidencialidad como:
el acceso no autorizado por la ley a una información personal, el uso no autorizado por la ley de dicha información, la comunicación no autorizada por la ley de dicha información o la pérdida de una información personal o cualquier otra afectación a la protección de dicha información.
Ejemplos concretos que vemos con regularidad:
- Computadora portátil robada con expedientes de clientes sin cifrar.
- Memoria USB perdida con exportaciones de RR.HH.
- Correo electrónico enviado a la persona equivocada con un archivo adjunto con información personal.
- Acceso no autorizado a un buzón de Microsoft 365 tras el compromiso de una contraseña.
- Ransomware que exfiltró datos antes de cifrarlos.
- Archivos de SharePoint mal compartidos (enlace público en lugar de privado).
- Empleado que consulta expedientes a los que no tiene derecho (por curiosidad, para un tercero).
El incidente existe incluso si la información no ha sido utilizada — el mero hecho de que haya quedado expuesta basta para activar las obligaciones.
La regla del «riesgo de perjuicio serio»
El artículo 3.5 impone notificar únicamente cuando el incidente presenta un riesgo de perjuicio serio. Debe por tanto realizarse una evaluación documentada al momento del descubrimiento.
Los tres factores a evaluar (art. 3.7):
- Sensibilidad de la información — información de salud, financiera, biométrica o de identidad (NAS, licencia de conducir) presenta un riesgo mayor que una simple dirección de correo profesional.
- Consecuencias previsibles — robo de identidad, fraude financiero, perjuicio psicológico, daño a la reputación, pérdida de empleo, discriminación.
- Probabilidad de uso malicioso — incidente accidental (correo mal dirigido a un colega de confianza contactado para destruirlo) vs. incidente malicioso (robo, ransomware, publicación en línea).
La prueba es acumulativa y cualitativa: un solo factor muy alto puede bastar. No hay un umbral numérico.
Ejemplo de evaluación
Una computadora portátil cifrada desaparece de un vehículo. El cifrado es válido, no hay contraseña anotada en el dispositivo, denuncia policial presentada.
- Sensibilidad: alta (datos de RR.HH. de 120 empleados).
- Consecuencias: posible robo de identidad.
- Probabilidad: baja (cifrado intacto — la CAI reconoce el cifrado adecuado como mitigante determinante).
Conclusión: el incidente se registra pero no activa notificación. Si el cifrado hubiera estado ausente o fuera débil, la conclusión habría sido la opuesta.
La notificación a la CAI
Cuando se retiene un riesgo de perjuicio serio, la empresa debe avisar a la CAI lo antes posible (la ley no establece horas fijas, pero la CAI espera avisos del orden de pocos días, no semanas).
La notificación se realiza mediante el formulario en línea de la CAI y debe contener:
- La descripción del incidente (fecha, lugar, naturaleza, número de personas afectadas).
- Las circunstancias (cómo, por qué, quién lo descubrió).
- La fecha o período en que ocurrió el incidente.
- Una descripción de la información involucrada.
- Las medidas tomadas o previstas para mitigar los perjuicios.
- Las medidas para evitar la reincidencia.
- Los datos de contacto de una persona a la que la CAI pueda acudir.
Importante: puede enviarse una notificación preliminar con la información disponible y completarse a medida que avanza la investigación. No espere a tener toda la información antes de avisar.
La notificación a las personas afectadas
Cada persona cuya información esté afectada debe ser avisada, salvo excepciones (por ejemplo, si compromete una investigación penal en curso, art. 3.5 in fine).
El aviso debe contener:
- La fecha o período del incidente.
- La información afectada.
- Las medidas tomadas para mitigar el perjuicio.
- Las medidas que la persona puede tomar por sí misma (cambiar su contraseña, vigilar su crédito, etc.).
- El nombre y datos de contacto de una persona de su empresa a quien puede acudir para más información.
El medio debe ser adecuado: correo si se conoce la dirección, carta postal para expedientes antiguos, aviso público (sitio web + comunicado) si el volumen es demasiado grande o los datos de contacto desconocidos.
El registro de incidentes (art. 3.8)
La empresa debe mantener un registro de incidentes de confidencialidad para todos los incidentes, incluidos los que no activan notificación. Este registro debe estar a disposición de la CAI si lo solicita.
Campos mínimos a registrar por cada incidente:
| Campo | Ejemplo |
|---|---|
| Fecha y hora del descubrimiento | 2026-04-20 08:14 |
| Fecha y hora del incidente (si se conoce) | 2026-04-18 entre 22 h y 23 h |
| Descripción | Robo de bolso con portátil de trabajo |
| Categorías de información | Credenciales + expedientes RR.HH. |
| Número de personas afectadas | ~120 |
| Nivel de sensibilidad | Alta |
| Evaluación del riesgo de perjuicio serio | Bajo (cifrado AES-256 activo, contraseña no anotada) |
| Notificación CAI | No |
| Notificación a personas | No |
| Medidas tomadas | Denuncia policial, revocación de acceso, auditoría Entra ID |
| Medidas preventivas | Formación reforzada, cifrado verificado en todo el parque |
| Responsable del expediente | Pascal Dupuis (responsable PI) |
El registro puede llevarse en una hoja Excel segura, una herramienta GRC dedicada o un módulo de HaloPSA / ServiceNow — lo importante es la accesibilidad, la trazabilidad y la no alteración de las entradas históricas.
El procedimiento a tener listo (antes del incidente)
La peor situación: un incidente ocurre un viernes a las 17 h y nadie sabe qué hacer. Un procedimiento escrito, probado y conocido es la diferencia entre una hora de gestión limpia y tres días de pánico.
Procedimiento tipo (adaptar a su realidad)
Hora 0 — Detección: ¿quién avisa? ¿A quién? ¿Por qué canal (teléfono dedicado, dirección dedicada, alerta EDR)?
Hora 0 a +2 h — Contención:
- Aislamiento del equipo / cuenta / red afectada.
- Cambio inmediato de contraseñas de cuentas en riesgo.
- Preservación de rastros (logs Entra ID, NinjaOne, Defender, Bitdefender).
Hora +2 h a +24 h — Evaluación:
- Quién: responsable PI + TI (interno o Hilo Tech) + dirección + abogado.
- Qué: qué información, cuántas personas, qué sensibilidad, qué probabilidad de uso.
- Documento: ficha de evaluación del riesgo de perjuicio serio.
Hora +24 h a +72 h — Decisiones:
- ¿Notificar a la CAI? (formulario en línea)
- ¿Notificar a las personas? (medio, redacción)
- ¿Policía? (robo físico, ransomware, amenaza)
- ¿Seguro cibernético?
Día +3 a +30 — Ejecución y seguimiento:
- Envío de las notificaciones.
- Medidas correctivas (técnicas + organizativas).
- Ingreso al registro de incidentes.
- Análisis post-mortem con el equipo.
Nuestro rol del lado TI
En Hilo Tech, participamos en la preparación (redacción del playbook TI, configuración de herramientas de detección, ejercicios de simulación) y en la ejecución (contención, preservación de rastros, restauración, auditoría post-incidente). La decisión de notificar y la redacción de los avisos oficiales corresponden al cliente y a su abogado — aportamos los hechos técnicos que fundamentan la decisión.
Lista de verificación rápida
- Tenemos un procedimiento escrito de gestión de incidentes de confidencialidad.
- El procedimiento incluye los datos de contacto 24/7 del responsable PI y del proveedor TI.
- Mantenemos un registro de incidentes accesible a la CAI si lo solicita.
- Nuestras portátiles, teléfonos y memorias USB están cifrados.
- Los logs de Microsoft 365 / Entra ID / EDR se conservan al menos 6 meses.
- Tenemos una plantilla de aviso a las personas afectadas, validada por nuestro abogado.
- Nuestro equipo sabe a quién llamar primero ante una sospecha.
Errores frecuentes
- «Esperamos a entender antes de avisar a la CAI.» — La ley exige notificación lo antes posible. Se espera una notificación preliminar, aunque sea incompleta.
- «No es grave, era solo un correo mal dirigido a un compañero.» — Sigue siendo un incidente que debe constar en el registro. La evaluación del riesgo puede concluir que no se requiere notificación, pero el análisis debe existir.
- «No tenemos procedimiento escrito, ya veremos cuando pase.» — Cuando pase, será un viernes por la noche. Un procedimiento preparado es la inversión más rentable.
- No documentar el cifrado. — Si se roba una portátil cifrada, debe poder probar que el cifrado estaba activo (BitLocker + política Intune). Sin prueba, la CAI puede tratar el incidente como si no hubiera cifrado.
Preguntas que debe formular a su asesor jurídico
- ¿Qué versión de la plantilla de aviso a las personas afectadas corresponde a nuestro sector?
- ¿En qué circunstancias podemos demorar una notificación para no comprometer una investigación policial?
- ¿Debemos también notificar a otras autoridades (LPRPDE federal, autoridades estadounidenses si hay clientes no quebequenses afectados)?
- ¿Cuál es nuestra exposición al recurso civil del art. 93.1 (daños punitivos mínimos de 1 000 $) en caso de fuga?
¿Preguntas sobre esta guía?
Pascal y Jérémie pueden responder directamente por correo o en una llamada de descubrimiento.
Escríbenos