De acuerdo con la normativa de Protección de Datos, una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
De acuerdo con la nueva normativa de protección de datos se ha introducido la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) las “brechas de seguridad” que afecten a datos personales que esté tratando su empresa. Tenga en cuenta sus obligaciones por si en alguna ocasión sufre una incidencia de este tipo.
Una brecha de seguridad puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales.
Lo que subyace a dicha obligación de notificación es una obligación más amplia y que emplaza al responsable a implementar un procedimiento de gestión de incidentes de seguridad que afecten a datos de carácter personal, cuyo resultado visible al exterior son las notificaciones tanto de las brechas seguridad como de las acciones y decisiones relativas a dichas violaciones.
¿Qué es una brecha de seguridad de datos personales?
Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
Por tanto:
- Existirá una brecha de seguridad si, por ejemplo, uno de sus empleados extravía o sufre el robo de un ordenador portátil en el que hay almacenados datos personales tratados por su empresa. También la habrá si se produce un acceso no autorizado a sus bases de datos, o el borrado accidental de datos.
- En cambio, si en el ordenador extraviado no había datos personales (sino otras informaciones de su empresa), no habrá brecha de seguridad y no deberá cumplir las obligaciones que se indican a continuación.
¿Qué hacer?
El responsable de tratamiento debe estar preparado para esta posibilidad, debe establecer quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.
El responsable de tratamiento debe poner en marcha el plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.
Además, cuando se sufre una brecha de seguridad se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados.
Información que de recabar:
- Medio por el que se ha materializado la brecha, es decir, qué ha ocurrido: se ha perdido un dispositivo con datos personales, se ha producido un robo, se han publicado datos personales por error o se ha enviado a un destinatario equivocado, un ransomware ha cifrado un dispositivo, se ha producido una intrusión no autorizada en un sistema de información con datos personales, un empleado ha sido víctima de phishing, etc.
- Origen de la brecha, si ha sido interna o externa y su intencionalidad.
- Categorías de datos: si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como puedan ser datos de salud.
- Volumen de datos afectados, tanto en número de registros afectados como en número de personas afectadas.
- Categorías de afectados: clientes, empleados, estudiantes, abonados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
- Información temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de seguridad.
Notificación a la AEAPD y comunicación a los afectados
Si en alguna ocasión se produce una incidencia de este tipo en su empresa, debe notificarla sin dilación a la AEPD (debe hacerlo en el plazo máximo de 72 horas desde que tenga conocimiento de ella) a través de un formulario que existe en la web de la Agencia. La ley sólo le exonera de realizar esta notificación en casos concretos en los que no exista riesgo para el titular de los datos (por ejemplo, porque los datos afectados ya eran públicos o están encriptados).
Si además entraña un alto riesgo deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que tendrá que valorar si notifica ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detallados en el contrato mediante el cual se establece el encargo del tratamiento.
Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.
La AEPD ha publicado una Guía para la gestión y notificación de brechas de seguridad dirigida a responsables de tratamientos de datos personales que puedan estar afectados por brechas de seguridad de los datos, con el objetivo de facilitar la interpretación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados de modo que la notificación se haga por el canal adecuado, contenga información útil y precisa a efectos estadísticos y de seguimiento, y se adecúe a las nuevas exigencias del RGPD.
Ver Guía: https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf