Desde la entrada en vigor de Reglamento General de Protección de Datos (RGPD), es obligatorio notificar tanto a los afectados como a la Agencia Española de Protección de Datos (AEPD) la existencia de una brecha de seguridad si se diera el caso.
En este artículo explicaremos en qué consisten las brechas de seguridad y cómo gestionarlas.
Según la AEPD, una brecha de seguridad es “un incidente de seguridad que afecta a datos de carácter personal”, independientemente de si es a causa de un accidente o de una acción intencionada y afecte a datos digitales o en formatos de papel. Además, las brechas de seguridad provocan la “destrucción, pérdida, alteración, comunicación o acceso no autorizado de datos personales”.
Por parte del RGPD, se ofrece la siguiente definición de brecha de seguridad: “Toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso autorizado a dichos datos”.
En resumen, una brecha de seguridad podría traducirse como una violación de la seguridad que produce pérdida, destrucción o manipulación de los datos personales almacenados en el dispositivo atacado.
Este tipo de situaciones pueden producirse por una modificación no autorizada de la base de datos, una destrucción de las copias de seguridad o un ciberataque que tenga como objetivo acceder a cierta información personal.
En caso de que sufras una situación de este tipo, estos son los pasos a seguir de forma adecuada y de acuerdo a las exigencias de la normativa de resolución de incidencias.
El responsable del tratamiento de los datos (o Delegado de Protección de Datos en caso de que exista), debe realizar un registro en el cual se recoja el momento preciso en el que se haya detectado la violación de los sistemas de seguridad, así como los sistemas, datos y equipos que se han visto afectados.
Una vez que se haya resuelto el problema, deberá registrarse también la solución a la brecha de seguridad.
Para saber si debemos notificar una brecha de seguridad, tendremos que valorar el nivel de alcance de la misma, es decir, cuántos datos se han visto afectados y en qué medida, ya que dependiendo de esto existirá o no la obligación de informar a la AEPD. Para ello podemos hacernos preguntas tales como: ¿Supone un riesgo para los derechos y libertades de los afectados? ¿Provoca daños y perjuicios físicos, materiales o inmateriales? ¿Puede privar a los interesados de sus derechos y libertades o se les impide ejerce el control sobre sus datos personales?
Si después de haber realizado el análisis anterior hemos llegado a la conclusión de que la brecha afecta o puede suponer un riesgo importante para las personas dueñas de los datos, no solo debemos registrar dicho problema si no que además, tenemos que notificarlo a la AEPD, completando un formulario de notificación de brechas de seguridad.
Hemos hablado de informar a la AEPD cuando surja una violación del tratamiento de los datos personales, sin embargo, ¿qué ocurre con las personas afectadas? ¿Cuándo debemos informarlas?
Según la “guia-brechas-seguridad” publicada por la AEPD, se debe informar a los afectados por la brecha de seguridad cuando esta pueda suponer un riesgo para sus derechos y libertades. Por lo tanto, si se identifica este nivel de peligro para los derechos fundamentales de los interesados, el responsable del tratamiento deberá informarles de ello tan pronto como sea consciente del problema.
Para hacer más fácil la decisión de informar a los afectados, se ha creado la herramienta AEPD. Sin embargo, se trata solo de un mecanismo que ayuda a la toma de decisiones y de ningún modo sustituye la obligación de notificar la brecha de seguridad a la AEPD ni a los afectados.
¿Necesitas más información acerca de este tema? Puedes completarla con la Guía para la gestión y notificación de brechas de seguridad de la AEPD, donde además se reflejan ejemplos prácticos.
Si tienes alguna duda concreta o necesitas asesoramiento acerca de este tema, en Onciber estamos encantados de ayudarte. Ponte en contacto con nosotros aquí.
De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: ONCIBER SEGURIDAD GESTIONADA, S.L. Fines del tratamiento: mantener una relación comercial y enviar comunicaciones de productos o servicios Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición Más información del tratamiento en la Política de privacidad
De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: ONCIBER SEGURIDAD GESTIONADA, S.L. Fines del tratamiento: mantener una relación comercial y enviar comunicaciones de productos o servicios Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición Más información del tratamiento en la Política de privacidad
En breve, uno de nuestros consultores se pondrá en contacto contigo. Gracias por confiar en Onciber.
En breve recibirá llamada de nuestros técnicos colaboradores de AlwaysON e instrucciones precisas acerca de como puede solicitar usted su propia asistencia en horario de 09.00 a 18.00 horas de lunes a viernes.