¿Cómo actuar ante una brecha de seguridad?

¿SABES CÓMO HAY QUE ACTUAR ANTE UNA BRECHA DE SEGURIDAD?

Ciberataques, malwares, phishing, sistemas infectados con virus… Son muchas las ocasiones en las que nos podemos encontrar ante una brecha de Seguridad y es necesario saber identificarlas y gestionarlas correctamente, conforme a lo establecido en la normativa aplicable.

Este artículo pretende ayudar a los Responsables y Encargados del Tratamiento de datos a identificar brechas de seguridad y cumplir con sus obligaciones en lo referente a las violaciones de seguridad de datos personales, teniendo como referencia la actualización del 30 de mayo de 2022 recogida en la “Guía para la notificación de brechas de datos personales” de la Agencia Española de Protección de Datos (AEPD).

Estas situaciones podrían derivar en un procedimiento sancionador por parte de la AEDP, con multas de hasta 20 millones de euros o a un 4% de la facturación anual, en los casos más graves.

Antes de todo, debemos entender que es una brecha de seguridad o violación de seguridad de datos personales y qué no lo es.

BRECHA DE SEGURIDAD DE DATOS PERSONALES

El Reglamento General de Protección de Datos (RGPD) las define como “todas aquellas violaciones de seguridad que ocasionen destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma o la comunicación o acceso no autorizados a dichos datos”. Conforme a los artículos 33 y 34 del RGPD, estas situaciones deben afectar a datos personales en el desarrollo de tratamientos realizados por un Responsable o Encargado.

En otras palabras, si en una empresa nos encontramos con un incidente de seguridad que no ha afectado a datos personales, no tendrá la consideración de Brecha de Seguridad sobre datos personales, aunque se trate de un incidente que afecte a información de la compañía, lo que requerirá de un análisis interno y la aplicación de una serie de medidas correctivas con el fin de evitarlo en el futuro.

De todas formas, no es obligatorio notificar una brecha cuando el Responsable pueda garantizar que es improbable que esta entrañe un riesgo para los derechos y libertades de las personas física (Principio de Responsabilidad Proactiva).

 

SOLICITAR CONSULTA

 

PRIMER PASO: PREVENCIÓN

La primera obligación como Responsables o Encargados del tratamiento de datos personales para prepararnos y afrontar brechas es la evaluación del nivel de riesgo de los datos que tratamos.

Una vez establecido el nivel de riesgo, se decidirán las medidas a establecer para evitar y minimizar dicho riesgo, por ejemplo, cifrar o seudonimizar los datos personales, garantizar la confidencialidad e integridad, realización de auditorías de seguridad periódicas, etc. Estas medidas deben permitir reaccionar ante posibles brechas de datos personales.

SEGUNDO PASO: DETECCIÓN

En el preciso momento en que se detecta una brecha de datos personales se debe actuar y será necesaria la colaboración y actuación de distintas figuras:

El encargado del tratamiento deberá:

  1. Comunicar al responsable del tratamiento, sin dilación indebida, las brechas de datos que afecten a los tratamientos encargados (el plazo de notificación debe estar recogido en el contrato de encargo del tratamiento y no debe ser superior a las 72 horas);
  2. Ayudar al responsable en la gestión de la brecha:
  3. Evaluar el riesgo y ejecutar labores de notificación a la Autoridad de Control.

El responsable del tratamiento debe:

  1. Aplicar las medidas técnicas y organizativas del proceso de gestión de brechas;
  2. Evaluar las consecuencias para las libertades y los derechos de los afectados
  3. Notificar la brecha de datos a la AEPD en un plazo máximo de 72 horas (computando fines de semana y festivos) cuando sea probable que la brecha constituya un riesgo;
  4. Comunicar la brecha de datos a las personas afectadas.

Delegado de Protección de Datos (DPD) debe:

  1. Informar y asesorar al responsable o encargado de las obligaciones y responsabilidades con relación a las brechas;
  2. Cooperar con la Autoridad de Control y actuar como punto de contacto

Es necesario documentar todo el proceso con la información que se vaya recopilando. La Agencia Española de Protección de Datos pone a disposición de los responsables y encargado la herramienta FACILITA-EMPRENDE, que incluye un modelo de hoja de registro de incidentes para cumplir con el artículo 33.5 relativo a la documentación de las brechas de seguridad que afecten o puedan afectar a datos personales.

TERCER PASO: ¿EXISTE RIESGO PARA LOS DERECHOS Y LIBERTADES DE LAS PERSONAS AFECTADAS?

El nivel de riesgo para los derechos y libertades de las personas físicas afectadas es el parámetro determinante para notificar una brecha de datos personales a la Autoridad de Control y comunicarla a los afectados.

Para evaluar el riesgo de una brecha debemos tener en cuenta ciertos factores:

  1. Tipo de brecha de datos personales;
  2. Naturaleza, carácter sensible y volumen de datos personales.
  3. Facilidad de identificación de las personas;
  4. Gravedad de las consecuencias para los afectados y libertades de las personas;
  5. Características particulares del responsable del tratamiento;
  6. Número de personas afectadas.

Cuando el riesgo ha sido valorado se puede determinar que:

  • No existe riesgo: en cuyo caso no será necesario notificarlo y se gestionará el incidente y se incorporará al registro de brechas de seguridad.
  • Existe riesgo: debiendo notificarse a la AEPD en las 72 horas siguientes y, posteriormente, en un plazo inferior a 30 días, la Autoridad Competente valorará la brecha y evaluará la necesidad de notificación a los afectados. Sólo en el caso que consideren que hay un riesgo alto, la AEPD enviará una notificación y en el plazo de 30 días se deberá comunicar a los afectados.
  • Existe alto riesgo: a la mayor brevedad posible, el Responsable del tratamiento deberá comunicar la brecha de datos a los afectados y, a su vez, a la AEPD.

CUARTO PASO: COMUNICACIÓN

La responsabilidad de comunicar una brecha de datos a la Autoridad de Control corresponde al Responsable de los datos, aunque se puede autorizar a una persona física o representante para realizar tal acción.

Una vez determinado el riesgo y en los casos indicados, se deberá comunicar la brecha a la Autoridad de Control y/o a los afectados, pero… ¿Cómo debe ser esta comunicación?

  1. COMUNICACIÓN A LA AUTORIDAD DE CONTROL

La comunicación a la Autoridad de Control se hará de forma electrónica mediante el formulario que consta en su Sede Electrónica ( https://sedeagpd.gob.es/sede-electronica-web/).

Debe contener como mínimo la naturaleza de la violación de la seguridad, las categorías y número aproximado de interesados afectados, las categorías y número aproximado de registros de datos, las posibles consecuencias de la violación de seguridad, las medidas adoptadas o propuestas y, para finalizar, el contacto del Delegado de Protección de Datos o de otro punto de contacto.

Una vez realizada la notificación, el Responsable debe estar preparado para recibir y atender los posibles requerimientos, órdenes o comunicaciones de la Autoridad de Control.

  1. COMUNICACIÓN A LOS AFECTADOS

Cuando determinemos que la brecha supone un alto riesgo y, por consiguiente, se ha visto comprometida la confidencialidad, integridad y/o disponibilidad de esos datos, debemos comunicarlo a los afectados sin dilación indebida.

La comunicación describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas siguientes:

  • Descripción del incidente, posibles consecuencias y datos afectados;
  • Resumen de las medidas implantadas para evitar futuras brechas;
  • Datos de contacto del Delegado de Protección de Datos, o en su caso, del punto de contacto.

Sólo cuando la comunicación suponga un esfuerzo desproporcionado, esta se podrá realizar a través de avisos públicos con una comunicación indirecta.

QUINTO PASO: MEDIDAS DE MEJORA

En virtud del principio de responsabilidad productiva y con la finalidad de minimizar el impacto sobre los afectados de la brecha de seguridad, los responsables y encargados deben hacer un ejercicio de reflexión y análisis de mejora de las medidas y “aprender de la brecha de seguridad”.

Por ello, será conveniente evaluar qué medidas y recursos se podrán implementar para evitar su reincidencia.

Para evitar posibles brechas de seguridad es importante realizar una auditoría de protección de datos y contar con un asesor para el diseño de planes de cumplimiento. En DiG Abogados somos especialistas en Protección de Datos, por lo que te asesoraremos en cada paso para que los datos de tus clientes estén seguros.

 


Sobre el autor:

Abogada Laura MoratóLaura Morató

DiG Abogados

Asesora Protección de Datos

Related Posts

Call Now Button