Brechas de seguridad según el Reglamento General de Protección de Datos.

Todas las entidades, tarde o temprano, sufrirán una brecha de seguridad que afectará a la información. Sus consecuencias serán que los datos personales que maneja la entidad se vean seriamente comprometidos.

A continuación veremos cómo se debe actuar ante una brecha de seguridad para gestionar este grave incidente de la forma más óptima posible.

Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos ellos son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.

El responsable de tratamiento debe llevar a cabo las siguientes fases:

Fase de preparación para responder ante los incidentes de seguridad
Fase de detección e identificación
Fase de Registro
Fase de Clasificación y Valoración

Para tratar una brecha de seguridad, se deberá llevar a cabo un plan de actuación en el que se determinen los recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento.

El responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes de seguridad y es recomendable que tengan un procedimiento de respuesta ante incidentes de seguridad.
Determinado el incidente de seguridad, es necesario entrar en una primera fase de análisis que permita recabar información y clasificar el incidente con mayor precisión, identificando a los sujetos implicados en el plan de actuación.

Sujetos que colaboran y actúan en su gestión

Responsable del tratamiento.
Delegado de Protección de Datos (DPD).
Autoridad de control competente.

Fases del plan de actuación

Fase de análisis y clasificación: Desde que se detecta, hemos de tener en cuenta diferentes aspectos, como: recopilación y análisis de la información relativa a dicho incidente, clasificación, determinar si nos encontramos ante una brecha de seguridad, etc.
Proceso de respuesta: Durante el proceso de respuesta, se intenta contener el incidente mediante la eliminación de la situación ocasionada y finaliza por las acciones de recuperación.
Proceso de notificación: Aparte de las notificaciones internas que se deban llevar a cabo para gestionar un incidente de seguridad se deberá notificar a la autoridad de control (art.33 RGPD) como al propio interesado (art.34 RGPD), son obligaciones del responsable del tratamiento, aunque puede delegar la ejecución de las mismas en otras figuras.
Seguimiento y cierre: Siguiendo las directrices de la Agencia Española de Protección de Datos, debemos destacar las siguientes tareas:
Valoración de contratación de un experto.
Valoración de adopción de medidas procesales.
Realización de un informe final sobre la brecha de seguridad.
Cierre de la brecha de seguridad
Una vez confirmada, debemos centrarnos en el desarrollo del proceso de respuesta.

Fases del proceso de respuesta

Contención del incidente
Solución/Erradicación
Recuperación
Recolección y custodia de evidencias
Comunicación/Informe de resolución

Hemos de tener en cuenta que en todas las entidades pueden suceder incidentes de seguridad y por ello hay que gestionarlos de la mejor manera posible.
El art. 33.5 RGPD nos dice que “El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo”. Por tanto, el responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes, además es recomendable que tengan un procedimiento de respuesta ante éstos.

Una vez confirmada la incidencia debemos de notificarla obligatoriamente, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas física, según lo mencionado en el art. 33.1 RGPD, a tres entes principales:

A la Autoridad de Control, la notificación a la Autoridad de Control correspondiente debe efectuarse en las primeras 72 horas, desde el momento que se tiene constancia de la incidencia. Ahora bien, si en el momento de la notificación no fuese posible facilitar toda la información, podrá entregarse posteriormente de forma gradual, en varias fases. Cuando el responsable efectúe la primera notificación, deberá informar si proporcionará más información posteriormente. También podrá aportar información adicional mediante comunicaciones intermedias a la autoridad de control bajo petición de esta, o cuando el responsable considere adecuado actualizar la situación de la misma.
Notificación al interesado, el art. 34 RGPD hace referencia a la comunicación de la brecha de seguridad a los interesados “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”. Debemos de tener en cuenta factores como, cuáles son las obligaciones legales y contractuales, riesgos que implica la pérdida de datos, entre otras, para poder decidir si se va a comunicar a los interesados o no.
Por último, existen algunas excepciones, dónde no será necesaria la notificación a la Autoridad de Control cuando el responsable pueda demostrar, que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas. Asimismo, no será necesaria la comunicación a los afectados conforme a lo dispuesto en el art. 34.3 RGPD:

No se notificará a la AEPD cuando:

El responsable demuestre que ésta no supone alto riesgo para los derechos y libertades de las personas físicas.
No se comunicará al interesado cuando:
El responsable ha adoptado medidas de protección técnicas y organizativas adecuadas. (cifrado de datos).
Se han aplicado medidas posteriores que garanticen que ya no existe probabilidad de alto riesgo.

 

Algunos de nuestros clientes

Insefor, Servicios a empresas
Camara Agraria de León
VicMas, fabria de armarios
Vinotecnia, Loboratorio Enologico
Pensión Sandoval
Talleres Tailon

Configuraciones de cookies

×

Cookies funcionnales

Este sitio utiliza cookies para garantizar su correcto funcionamiento y no se puede desactivar desde nuestros sistemas. No los usamos con fines publicitarios. Si se bloquean estas cookies, ciertas partes del sitio no podrán funcionar.

Medida de visitas

Este sitio utiliza cookies de análisis y medición de audiencia, como Google Analytics y Google Ads, para evaluar y mejorar nuestro sitio web.

Contenido interactivo

Este sitio utiliza componentes de terceros, como ReCAPTCHA, Google Maps, que pueden depositar cookies en su máquina. Si decide bloquear un componente, el contenido no aparecerá.

Redes Sociales / Videos

Las redes sociales y los complementos de video, que usan cookies, están presentes en este sitio web. Mejoran la usabilidad y promoción del sitio a través de diferentes interacciones sociales.

    Otras cookies

    Este SITIO WEB utiliza una serie de cookies para administrar las sesiones de los usuarios, por ejemplo.

    Activation