Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Cómo actuar ante una brecha de seguridad

Al hilo del último artículo sobre delincuencia en Internet, he pensado en explicarles cómo actuar en caso de que ser víctimas de una “brecha de seguridad”.

Empecemos por definir qué se entiende por “brecha de seguridad”. En el Reglamento General de Protección de Datos encontramos la siguiente definición en su artículo 4.12: «Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos». En otras palabras, es todo aquel incidente que tenga efectos adversos y que ponga en riesgo la seguridad de los datos, redes y sistemas de información. Dicho esto, no todos los incidentes son necesariamente “brechas de seguridad” y no todas las brechas exigen su notificación a la autoridad de control. 

La Agencia Española de Protección de Datos clasifica las brechas de seguridad en tres categorías:

  1. Brecha de confidencialidad: Tiene lugar cuando personas que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella.
  2. Brecha de integridad: Se produce cuando se altera la información original, pudiendo causar daños a los interesados.
  3. Brecha de disponibilidad: Cuando no se puede acceder a los datos originales. Puede ser temporal, cuando los datos son recuperables, pero exige un cierto tiempo, o permanente cuando los datos no pueden recuperarse.

Detectada la brecha de seguridad, ¿cómo debemos actuar?.

Lo primero es mantener la calma, aunque resulte difícil. Tras ello, debemos analizar la información afectada y evaluar el nivel de perjuicio que la brecha pueda haber causado.

Para evaluar la peligrosidad de la brecha de seguridad tendremos en cuenta diversos factores:

  • La naturaleza, sensibilidad y categoría de los datos personales y personas afectadas, tomando en consideración como hecho relevante que el incidente afecte a datos de personas con características y/o necesidades especiales.
  • El volumen de datos y el número de afectados dentro de una escala determinada.
  • Si los datos estaban protegidos mediante algún sistema de seudonimización o no.
  • La facilidad con la que se pueda deducir la identidad de las personas afectadas.
  • La severidad de las consecuencias.
  • El impacto que la brecha de seguridad pueda tener en la organización desde los puntos de vista de la protección de la información, la prestación de servicios, la conformidad legal y la imagen pública o reputacional.

Tras una brecha de seguridad lo prioritario es la puesta en marcha de un “plan de respuesta” o de “continuidad del negocio” que incluirá las medidas de contención a ejecutar con la finalidad de limitar los efectos de la brecha y las de recuperación de la actividad.

Pongamos que el incidente se cataloga como “brecha de seguridad” y que entraña un alto riesgo para los derechos y libertades de los afectados. En tales casos, aparte de la notificación a la autoridad de control, se notificará a los afectados.

La notificación a la AEPD la hará el responsable del tratamiento en el plazo máximo de 72 horas. Si no fuera posible realizarla en dicho plazo se justificarán los motivos de la dilación. Si en el momento de realizar la primera notificación no se dispone de toda la información podrá facilitarse de manera gradual en distintas fases. En todo caso, la información facilitada en las notificaciones será completa y pormenorizada.

Si el riesgo es alto para los derechos y libertades de los afectados procede la comunicación a los mismos con un lenguaje inteligible que deberá contener, como mínimo, la siguiente información:

  • Datos de contacto del responsable del tratamiento o, en su caso, del delegado de protección de datos.
  • Descripción del incidente y momento en el que se produjo y en el que fue detectado.
  • Descripción de los datos afectados.
  • Posibles consecuencias de la brecha de la seguridad.
  • Resumen de las medidas implantadas para controlar y minimizar los daños.
  • Alcance del proceso de recuperación de los datos afectados, si se pudiera determinar en ese momento.

La notificación a la AEPD puede hacer por correo postal, certificado y con acuse de recibo (no olviden que les sellen una copia de la comunicación que equivaldrá al registro de entrada en la autoridad de control) enviando el oportuno formulario –cuyo ejemplar les adjunto al final del artículo– a la sede de la AEPD sita en C/ Jorge Juan, 6, 28.001 Madrid. La notificación también puede ser telemática a través del siguiente enlace:

https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/nbs/guiadoBrechasInicio.jsf

El responsable del tratamiento no tiene por qué ser, necesariamente, el responsable de la brecha de seguridad, si actuó con diligencia en el tratamiento de los datos y adoptó las medidas técnicas y organizativas necesarias para proteger y garantizar la información, pudiendo considerarse, incluso, un perjudicado más.  

Tras sufrir una brecha de seguridad es aconsejable realizar controles periódicos y eficaces que permitan el seguimiento del sistema porque “más vale prevenir, que curar” y si la organización tiene relevancia pública, actuar con transparencia es la mejor de las opciones.

Recientemente, la AEPD ha publicado una herramienta de ayuda en la toma de decisiones ante la obligación de comunicar una brecha de seguridad. Les dejo un enlace a la misma: https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual