Cómo estar preparado ante una brecha de seguridad en materia de protección de datos

Cómo estar preparado ante una brecha de seguridad en materia de protección de datos

Las brechas de seguridad en materia de protección de datos son incidentes de seguridad que afectan al dato en cuanto a su integridad, confidencialidad, disponibilidad y/o resiliencia, y que pueden ocasionar su destrucción, pérdida o alteración accidental o ilícita. 

Es importante tener en cuenta dos cuestiones a la hora de evaluar las amenazas que deben afrontar las empresas: primero, que todas las brechas de datos personales son incidentes de seguridad, pero no todos los incidentes de seguridad son brechas de datos personales; para que se consideren brechas de seguridad en materia de protección de datos debe verse comprometida información que afecte a personas físicas identificadas o identificables. Y segundo, que los incidentes de seguridad pueden afectar a tratamientos de datos automatizados o no automatizados (por ejemplo, archivos en papel).

Las empresas, una vez evalúen el catálogo de amenazas que corren sus datos, deben intentar minimizarlas, mediante la implantación de medidas de seguridad. Un ejemplo es prevenir los accesos no autorizados a información de la organización y a los recursos del tratamiento.

Asimismo, las empresas deben crear un plan de contingencias o de incidentes de seguridad, el cual debe estar debidamente documentado, aprobado por la dirección de la empresa, publicado y comunicado a los empleados y partes externas relevantes, como, por ejemplo, los proveedores.

Se deben establecer responsabilidades y procedimientos de gestión para garantizar una respuesta rápida, efectiva y adecuada a las brechas de seguridad.

Nuestra recomendación es crear un procedimiento sencillo dividido en diferentes fases, en atención a la organización de la empresa y a sus acuerdos de corresponsabilidad con otros responsables del tratamiento, en el que se contemple que un empleado que no tenga ningún conocimiento técnico pueda alertar a la persona correcta sobre una posible vulneración de seguridad; esa información pueda ser debidamente analizada y gestionada y, en menos de 72 horas, tener la capacidad para decidir si se comunica o no la brecha de seguridad a la Agencia Española de Protección de Datos (en adelante AEPD) y a los interesados.

A continuación, un procedimiento sencillo que ponemos a consideración de las empresas, dividido en cuatro fases:

Fase 1: Notificación interna.

Se debe notificar a todos los empleados o parte externa del proceso de gestión de los datos que, en el momento que detecte alguna anomalía en los sistemas, soportes o equipos informáticos, en los ficheros y/o en los datos contenidos en los mismos, deberá ponerlo en conocimiento inmediato de una persona en concreto o departamento.

La comunicación a esa persona o departamento debe realizarse a través de los canales de gestión adecuados, para ello, es indispensable que previamente se haya evaluado cuál es el medio más rápido y fiable.

La persona que notifique la posible vulneración de datos debe facilitar toda la información que tenga al respecto, con la finalidad de abrir una incidencia en el registro que tenga habilitado la empresa con ese fin.

Fase 2: Gestión interna y análisis.

La persona o departamento designado por la empresa debe recopilar y analizar la información proporcionada, valorar si existe una brecha de seguridad, clasificarla, investigarla, comunicarla a las partes interesadas de la empresa y poner en marcha un plan de respuesta, así como el estudio y activación de las posibles medidas a adoptar.

Fase 3: Notificación a la AEPD y comunicación a los interesados.

Si se comprueba que existe o existió una brecha de seguridad, y que la misma constituye un riesgo para los derechos y las libertades de las personas físicas, debe notificarse a la autoridad de control que corresponda que, en el caso de las empresas españolas, es la AEPD, en el término de 72 horas contadas a partir de que se tenga conocimiento de la violación de seguridad.  

Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, se puede hacer con posterioridad, indicando de los motivos de la dilación.

Asimismo, si resultara que la brecha de la seguridad entrañase un alto riesgo para los derechos y libertades de las personas afectadas, se les debe comunicar en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad, así como la información que se le notificó a la AEPD.

Fase 4: Registro.

En la hoja de registro de incidencias en la que se consignó la incidencia, debe indicarse si existió brecha de seguridad, cómo se gestionó y si hubo necesidad de notificarlo a la AEPD e interesados.  

El anterior procedimiento no obedece a ningún estándar legal, por lo tanto, son recomendaciones que la empresa puede adoptar en su organización empresarial, lo que sí es obligatorio de conformidad al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que muchas personas creen que esta derogado, pero aún no lo está, es crear un registro de incidencias.

La tarea ahora para las empresas es revisar sus protocolos de gestión de incidencias para comprobar si se adaptan a las exigencias de la normativa vigente en materia de protección de datos, a los estándares seguidos por la empresa que los adapto al Reglamento General de Protección de datos y a los contratos firmados como corresponsables del tratamiento (p.ej: los concesionarios de vehículos con las marcas), todo lo anterior, con la finalidad que, en el supuesto de que exista un brecha de seguridad en la empresa, tengamos las herramientas necesarias para gestionarla y no improvisar, porque el incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales es una infracción grave, sancionada con multas que van, desde una amonestación, hasta los 20.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Utilizamos cookies propias y de terceros para hacer estadísticas del comportamiento de los usuarios en este sitios web y mejorar nuestros servicios. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí | OK