Cómo deben actuar las organizaciones ante una brecha de seguridad

Escrito por Carme Setó | Mercantil

28/06/2018

Sin duda el Reglamento 679/2016 Europeo de Protección de Datos (RGPD) se ha convertido en una herramienta para armonizar el desarrollo de la economía digital, planteándose nuevos retos para la protección de los datos personales. En dicho entorno, cualquier tipo de organización que trate datos personales se encuentra expuesta a sufrir una brecha de seguridad.


Ante dicha situación, el RGPD prevé en su regulación el procedimiento a seguir por parte de cualquier responsable o encargado del tratamiento para la notificación de las violaciones de seguridad que puedan suponer un riesgo para los derechos fundamentales y libertades de las personas físicas.


A los efectos de facilitar su aplicación, la Agencia Española de Protección de Datos (AEPD) ha publicado una guía práctica para la gestión y notificación de las violaciones de seguridad que puedan afectar a los datos personales y a la seguridad de la información.



La guía está orientada a proporcionar directrices generales en la gestión de las brechas de seguridad facilitando la interpretación del RGPD, además de preparar a las entidades que tratan datos personales para enfrentarse a situaciones críticas.


El propio RGPD indica que se entenderá que existe una brecha o una violación de seguridad de los datos en aquellos casos en los que ésta ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Conforme lo anterior, hay que tener en cuenta que, aunque todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes son necesariamente brechas de datos personales.


Las organizaciones, tanto si son responsables como encargados del tratamiento de datos personales, deberán tener claramente establecido cómo van a proceder ante una brecha de seguridad a través de los protocolos correspondientes. En algunos casos la gestión del incidente será interna, dentro y alrededor de las instalaciones de la organización y, en otros, la gestión del incidente deberá realizarse de manera externa, donde la comunicación se producirá a través de un tercero.


En el momento en que se detecta e identifica una brecha de seguridad el responsable o, en su caso, el encargado del tratamiento deberá llevar a cabo las siguientes actuaciones de forma inmediata:



i. Notificar a la autoridad de control la brecha producida, a más tardar 72 horas después de que haya tenido constancia y a través de un formulario publicado en la sede electrónica de la AEPD. Además, es necesario contar con los medios necesarios para documentar el seguimiento del mismo, quedando anotados todos los aspectos del incidente en un registro de incidencias.

ii. Gestionar la brecha de seguridad producida. Para ello deberá determinarse la peligrosidad potencial del incidente y la estimación de la magnitud del impacto sobre los individuos afectados, valorándose aspectos como el tipo de violación sufrida; la categoría de datos afectados y su volumen; las consecuencias del incidente, entre otros. Para esta evaluación se deberá recurrir al análisis de riesgos o evaluación de impacto realizado antes de la puesta en marcha de las actividades del tratamiento y a la clasificación previa del incidente. `

iii. Poner en marcha un plan de actuación previamente definido y aprobado para solucionar el incidente; además, será necesaria la colaboración y la actuación de las siguientes figuras implicadas: el responsable del tratamiento, un asesor experto en materia de seguridad, el encargado del tratamiento, el delegado de Protección de datos (DPD) así como, la autoridad de control competente.

iv. Iniciar el correspondiente proceso de respuesta correrá a cargo de un equipo de seguridad, que podrá formar parte de la empresa o estar externalizado. Para ello, es conveniente determinar (i) las medidas a implementar estableciendo un orden de prioridad, (ii) los responsables asignados así como, (iii) los tiempos y los efectos esperados. Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del mismo, como por ejemplo, eliminar un malware o desactivar cuentas de usuarios vulneradas.

v. Solucionada la brecha de seguridad y verificada la eficacia de las medidas adoptadas, se iniciará una fase de recuperación que tiene por objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando -en la medida de lo posible- que sucedan nuevos incidentes basados en la misma causa a través de controles periódicos.



Asimismo, cuando la brecha de seguridad entrañe un alto riesgo para los derechos y libertades de los titulares de los datos, el responsable del tratamiento deberá, adicionalmente, comunicar la violación producida a los afectados con un lenguaje claro y sencillo.


La notificación se deberá realizar preferentemente de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, correo postal, o a través de otro medio que el responsable considere adecuado. En todo caso, podrá hacerse de forma indirecta -a través de avisos públicos en sitios web como blogs corporativos, o comunicados de prensa- cuando para la notificación directa los costes sean excesivos o cuando no sea posible contactar con las personas afectadas.


Ante dicho escenario, es importante señalar que el incumplimiento de los requerimientos previstos en el RGPD puede suponer una multa de hasta 10 millones de euros o el 2 % del volumen de su negocio total anual global; todo ello, sin olvidar cómo se puede ver afectada la reputación de la organización ante un incidente de este tipo.


Por lo expuesto, es conveniente que las organizaciones tomen nota de la guía práctica publicada por la AEPD con la finalidad de implantar los protocolos de notificación de brechas de seguridad pertinentes y de dar cumplimiento a las nuevas obligaciones establecidas en RGPD.




Carme Setó

Escrito por:
Carme Setó

< Volver a Noticias

Este sitio web utiliza cookies propias y de terceros para recopilar información estadística sobre tus hábitos de navegación y poder así mejorar y personalizar tu experiencia ofreciéndote contenidos de tu interés. Si sigues navegando, consideramos que aceptas su instalación y uso. Puedes obtener más información en la política de cookiesX