De acuerdo con la normativa de Protección de Datos, una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
De acuerdo con la nueva normativa de protección de datos se ha
introducido la obligación de notificar a la Agencia Española de
Protección de Datos (AEPD) las «brechas de seguridad» que afecten a
datos personales que esté tratando su empresa. Tenga en cuenta sus
obligaciones por si en alguna ocasión sufre una incidencia de este tipo.
introducido la obligación de notificar a la Agencia Española de
Protección de Datos (AEPD) las «brechas de seguridad» que afecten a
datos personales que esté tratando su empresa. Tenga en cuenta sus
obligaciones por si en alguna ocasión sufre una incidencia de este tipo.
Una brecha de seguridad puede tener una serie de efectos adversos
considerables en las personas, susceptibles de ocasionar daños y
perjuicios físicos, materiales o inmateriales.
considerables en las personas, susceptibles de ocasionar daños y
perjuicios físicos, materiales o inmateriales.
Lo que subyace a dicha obligación de notificación es una obligación
más amplia y que emplaza al responsable a implementar un procedimiento
de gestión de incidentes de seguridad que afecten a datos de carácter
personal, cuyo resultado visible al exterior son las notificaciones
tanto de las brechas seguridad como de las acciones y decisiones
relativas a dichas violaciones.
más amplia y que emplaza al responsable a implementar un procedimiento
de gestión de incidentes de seguridad que afecten a datos de carácter
personal, cuyo resultado visible al exterior son las notificaciones
tanto de las brechas seguridad como de las acciones y decisiones
relativas a dichas violaciones.
Fuente: AEPD
¿Qué es una brecha de seguridad de datos personales?
Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.
Una brecha de seguridad es un incidente de seguridad que afecta a
datos de carácter personal. Este incidente puede tener un origen
accidental o intencionado y además puede afectar a datos tratados
digitalmente o en formato papel. En general, se trata de un suceso que
ocasione destrucción, pérdida, alteración, comunicación o acceso no
autorizado a datos personales.
datos de carácter personal. Este incidente puede tener un origen
accidental o intencionado y además puede afectar a datos tratados
digitalmente o en formato papel. En general, se trata de un suceso que
ocasione destrucción, pérdida, alteración, comunicación o acceso no
autorizado a datos personales.
Por tanto:
- Existirá una brecha de seguridad si, por ejemplo, uno
de sus empleados extravía o sufre el robo de un ordenador portátil en
el que hay almacenados datos personales tratados por su empresa. También
la habrá si se produce un acceso no autorizado a sus bases de datos, o
el borrado accidental de datos. - En cambio, si en el ordenador extraviado no había
datos personales (sino otras informaciones de su empresa), no habrá
brecha de seguridad y no deberá cumplir las obligaciones que se indican a
continuación.
¿Qué hacer?
El responsable de tratamiento debe estar preparado para esta
posibilidad, debe establecer quién y qué acciones se ejecutarán en caso
de producirse. Para ello, lo primero es ser consciente de qué datos
personales se están tratando, con qué medios y los riesgos que puede
haber. Así, una parte muy importante es implementar mecanismos que
permitan detectar las brechas de seguridad de datos de carácter
personal.
posibilidad, debe establecer quién y qué acciones se ejecutarán en caso
de producirse. Para ello, lo primero es ser consciente de qué datos
personales se están tratando, con qué medios y los riesgos que puede
haber. Así, una parte muy importante es implementar mecanismos que
permitan detectar las brechas de seguridad de datos de carácter
personal.
El responsable de tratamiento debe poner en marcha el plan de
actuación, concretando tareas específicas que permitan resolver la
brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el
futuro.
actuación, concretando tareas específicas que permitan resolver la
brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el
futuro.
Además, cuando se sufre una brecha de seguridad se debe recabar una
serie de información que será muy útil para decidir qué medidas tomar y
qué acciones se emprenderán para cumplir los objetivos anteriores y para
valorar la necesidad de notificar a la autoridad de control y
afectados.
serie de información que será muy útil para decidir qué medidas tomar y
qué acciones se emprenderán para cumplir los objetivos anteriores y para
valorar la necesidad de notificar a la autoridad de control y
afectados.
Información que de recabar:
- Medio por el que se ha materializado la brecha, es
decir, qué ha ocurrido: se ha perdido un dispositivo con datos
personales, se ha producido un robo, se han publicado datos personales
por error o se ha enviado a un destinatario equivocado, un ransomware ha
cifrado un dispositivo, se ha producido una intrusión no autorizada en
un sistema de información con datos personales, un empleado ha sido
víctima de phishing, etc. - Origen de la brecha, si ha sido interna o externa y su intencionalidad.
- Categorías de datos: si son datos básicos como credenciales o datos
de contacto o si bien son categorías especiales como puedan ser datos
de salud. - Volumen de datos afectados, tanto en número de registros afectados como en número de personas afectadas.
- Categorías de afectados: clientes, empleados, estudiantes,
abonados, pacientes, etc. Es importante identificar si se trata de
colectivos vulnerables. - Información temporal de la brecha: cuándo se inició,
cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de
seguridad.
Notificación a la AEAPD y comunicación a los afectados
Si en alguna ocasión se produce una incidencia de este tipo en su
empresa, debe notificarla sin dilación a la AEPD (debe hacerlo en el
plazo máximo de 72 horas desde que tenga conocimiento de ella) a través
de un formulario que existe en la web de la Agencia. La ley sólo le
exonera de realizar esta notificación en casos concretos en los que no
exista riesgo para el titular de los datos (por ejemplo, porque los
datos afectados ya eran públicos o están encriptados).
empresa, debe notificarla sin dilación a la AEPD (debe hacerlo en el
plazo máximo de 72 horas desde que tenga conocimiento de ella) a través
de un formulario que existe en la web de la Agencia. La ley sólo le
exonera de realizar esta notificación en casos concretos en los que no
exista riesgo para el titular de los datos (por ejemplo, porque los
datos afectados ya eran públicos o están encriptados).
Si además entraña un alto riesgo deberá comunicarse sin dilación
indebida a los afectados a través del medio que se suela utilizar para
comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá
que los afectados puedan reaccionar cuanto antes y tomar las medidas
oportunas, porque en dicha comunicación se les deberá explicar
claramente lo sucedido y las medidas recomendadas para que puedan
minimizar o eliminar las consecuencias negativas que pueda tener la
brecha sobre ellos.
indebida a los afectados a través del medio que se suela utilizar para
comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá
que los afectados puedan reaccionar cuanto antes y tomar las medidas
oportunas, porque en dicha comunicación se les deberá explicar
claramente lo sucedido y las medidas recomendadas para que puedan
minimizar o eliminar las consecuencias negativas que pueda tener la
brecha sobre ellos.
En el caso que la brecha la sufra un encargado del tratamiento, este
debe informar al responsable del tratamiento, que tendrá que valorar si
notifica ante la AEPD y comunicar a los afectados. En todo caso, los
detalles sobre las responsabilidades de responsable y encargado ante una
brecha de seguridad deben quedar expresamente detallados en el contrato
mediante el cual se establece el encargo del tratamiento.
debe informar al responsable del tratamiento, que tendrá que valorar si
notifica ante la AEPD y comunicar a los afectados. En todo caso, los
detalles sobre las responsabilidades de responsable y encargado ante una
brecha de seguridad deben quedar expresamente detallados en el contrato
mediante el cual se establece el encargo del tratamiento.
Independientemente de si se ha notificado a la AEPD o no, o si se ha
informado a los afectados, debemos llevar un registro de las brechas de
seguridad que suframos, en el que se justifique las decisiones que se
han tomado. Este documento puede ser exigible en cualquier momento por
parte de la AEPD.
informado a los afectados, debemos llevar un registro de las brechas de
seguridad que suframos, en el que se justifique las decisiones que se
han tomado. Este documento puede ser exigible en cualquier momento por
parte de la AEPD.
La AEPD ha publicado una Guía para la gestión y notificación de
brechas de seguridad dirigida a responsables de tratamientos de datos
personales que puedan estar afectados por brechas de seguridad de los
datos, con el objetivo de facilitar la interpretación del RGPD en lo
relativo a la obligación de notificar a la autoridad competente y, en su
caso, a los afectados de modo que la notificación se haga por el canal
adecuado, contenga información útil y precisa a efectos estadísticos y
de seguimiento, y se adecúe a las nuevas exigencias del RGPD.
brechas de seguridad dirigida a responsables de tratamientos de datos
personales que puedan estar afectados por brechas de seguridad de los
datos, con el objetivo de facilitar la interpretación del RGPD en lo
relativo a la obligación de notificar a la autoridad competente y, en su
caso, a los afectados de modo que la notificación se haga por el canal
adecuado, contenga información útil y precisa a efectos estadísticos y
de seguimiento, y se adecúe a las nuevas exigencias del RGPD.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi