Cuando ocurre un incidente de seguridad que involucra datos personales, puede ser necesario comunicar a los titulares afectados de forma clara, objetiva y en lenguaje simple.
Este modelo puede ser adaptado por el gimnasio o empresa responsable, según el tipo de incidente, los datos involucrados y las medidas adoptadas.
Importante
Antes de enviar cualquier comunicado a los clientes, el texto debe ser revisado por las áreas responsables de la empresa, como legal, privacidad, seguridad de la información y atención al cliente.
Cuándo usar este modelo
Este modelo puede ser utilizado cuando exista la necesidad de informar a clientes o usuarios sobre:
acceso indebido a datos personales;
uso indebido de credenciales;
incidentes con riesgo de fraude;
exposición de información de registro, financiera o de acceso;
otros incidentes que puedan generar riesgo o daño relevante a los titulares.
Orientaciones antes de enviar
Antes del envío de la comunicación, confirme:
qué titulares serán comunicados;
qué datos pueden haber sido afectados;
qué riesgos realmente existen;
qué medidas ya fueron adoptadas;
qué canal será utilizado para la atención a los clientes.
También es importante garantizar que el mensaje:
utilice lenguaje simple;
no minimice indebidamente lo ocurrido;
no incluya información técnica excesiva;
contenga orientación práctica para el cliente.
Importante
El objetivo de la comunicación es informar y orientar a los clientes. Evite términos técnicos o legales complejos que puedan dificultar la comprensión del mensaje.
Plantilla de comunicado al titular
Asunto del correo o título del mensaje
Comunicado importante sobre incidente de seguridad que involucra sus datos
Cuerpo del mensaje
Hola, [NOMBRE DEL TITULAR].
Nos estamos comunicando para informar, con transparencia, la ocurrencia de un incidente de seguridad que puede haber involucrado algunos de sus datos personales vinculados a su registro en nuestra base.
Qué ocurrió
El día [FECHA], identificamos un incidente relacionado con [DESCRIBIR DE FORMA SIMPLE LO OCURRIDO].
Ejemplos de adaptación:
acceso indebido a la cuenta mediante uso fraudulento de credenciales;
intento de fraude a través de sitio falso;
exposición indebida de información de registro;
acceso no autorizado a datos asociados al registro del cliente.
Qué datos pueden haber sido involucrados
Hasta el momento, identificamos que los datos potencialmente involucrados fueron:
nombre completo
teléfono
correo electrónico
información de registro
historial de pagos
datos relacionados con el plan contratado
Importante
Informe también qué datos no fueron comprometidos. Esto ayuda a reducir la preocupación de los clientes, si esto es cierto.
Ejemplo:
Hasta el momento, no hay evidencias de compromiso de contraseña almacenada en formato legible, número completo de tarjeta o datos bancarios completos.
Qué medidas adoptamos
Tan pronto como tuvimos conocimiento del incidente, adoptamos medidas para la contención y mitigación, incluyendo, por ejemplo:
bloqueo de accesos sospechosos
revocación de sesiones o tokens
análisis técnico de lo ocurrido
refuerzo del monitoreo
comunicación a las autoridades competentes, cuando aplique
implementación de medidas adicionales de protección y prevención
Qué debe hacer ahora
Como medida de precaución, le recomendamos que:
cambie su contraseña inmediatamente, cuando aplique
no comparta códigos, contraseñas o enlaces recibidos de terceros
ignore mensajes sospechosos en nombre del gimnasio
confirme cobros o solicitudes de pago solo en nuestros canales oficiales
monitoree movimientos o comunicaciones inusuales relacionadas con su cuenta
Dependiendo del incidente, también puede ser recomendable:
extremar la atención con intentos de fraude vía WhatsApp
no realizar pagos enviados por contactos no oficiales
ponerse en contacto con nosotros en caso de cualquier sospecha
Nuestros canales oficiales
Para su seguridad, considere como canales oficiales únicamente:
[SITIO OFICIAL]
[APP OFICIAL]
[CORREO OFICIAL]
[TELÉFONO O WHATSAPP OFICIAL]
[OTROS CANALES, SI ES NECESARIO]
Nuestro compromiso
Lamentamos lo ocurrido y reforzamos que seguimos adoptando medidas técnicas y administrativas para investigar el caso, reducir riesgos y fortalecer nuestros controles de seguridad.
Quedamos a disposición para aclarar dudas y brindar el soporte necesario.
Atentamente,
[NOMBRE DE LA EMPRESA O GIMNASIO]
[ÁREA RESPONSABLE]
[CANAL DE CONTACTO]
Versión corta para WhatsApp, SMS o notificación
A continuación, una versión resumida, útil para canales con limitación de espacio. Mensaje corto:
Hola, [NOMBRE]. Identificamos un incidente de seguridad que puede haber involucrado datos vinculados a su registro. Ya adoptamos medidas de contención y reforzamos el monitoreo. Le pedimos mayor atención con mensajes, enlaces y cobros en nombre del gimnasio. En caso de duda, utilice solo nuestros canales oficiales: [CANAL OFICIAL]. Para más información, contáctenos en [CONTACTO].
Ejemplo adaptado para caso de phishing
A continuación, un ejemplo más cercano a un escenario de fraude con sitio falso.
Asunto
Comunicado importante sobre intento de fraude que involucra su cuenta
Cuerpo del mensaje
Hola, [NOMBRE DEL TITULAR].
Identificamos la ocurrencia de un incidente relacionado con un intento de fraude a través de un entorno falso que simulaba comunicación oficial del gimnasio.
En este contexto, puede haber ocurrido acceso indebido a datos vinculados a su registro, en caso de que credenciales de acceso hayan sido ingresadas en un entorno fraudulento.
Los datos potencialmente involucrados pueden incluir información de registro y datos relacionados con su cuenta.
Tan pronto como tuvimos conocimiento del caso, adoptamos medidas de contención, reforzamos el monitoreo e iniciamos acciones internas de investigación y mitigación.
Como precaución, le recomendamos que:
no realice pagos solicitados por contactos no oficiales
ignore enlaces recibidos de terceros en nombre del gimnasio
cambie su contraseña, si aplica
se ponga en contacto con nosotros en caso de haber recibido mensajes sospechosos
Nuestros canales oficiales son: [INSERTAR CANALES].
Lamentamos lo ocurrido y quedamos a disposición para brindar aclaraciones.
Atentamente,
[NOMBRE DE LA EMPRESA O GIMNASIO]
Checklist antes de publicar o enviar
Antes de utilizar el comunicado, revise:
nombre correcto de la empresa o gimnasio
descripción exacta del incidente
categorías correctas de datos involucrados
medidas efectivamente adoptadas
orientación práctica adecuada al caso
canales oficiales actualizados
tono claro y objetivo, sin exceso de tecnicismo
Buenas prácticas de redacción
Al adaptar esta plantilla:
evite lenguaje alarmista
evite términos legales innecesarios
sea transparente sobre lo que se sabe y lo que aún está en investigación
no haga afirmaciones absolutas sin confirmación técnica
indique acciones concretas que el titular debe tomar
Ejemplos de formulaciones adecuadas:
“hasta el momento, identificamos”
“no hay evidencias, hasta el momento”
“como medida de precaución, recomendamos”
Resumen
Un buen comunicado al titular debe explicar:
qué ocurrió
qué datos pueden haber sido afectados
qué hizo la empresa
qué debe hacer el cliente
cómo buscar ayuda
Una comunicación clara y transparente ayuda a cumplir con los deberes de la LGPD y reduce el riesgo de nuevos fraudes o agravamiento del incidente.
Para ver más sobre posibles fraudes y cómo proteger a los clientes de su gimnasio, vea más en Antifraude.
