Gestión y notificación en una brecha de seguridad

¿Qué es una brecha de seguridad?
El RGPD define las «violaciones de seguridad» como «todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida, o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos«.
Por su parte, el Esquema Nacional de Seguridad (ENS) señala que un “incidente de seguridad” es aquel “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”.
Es importante tener en cuenta estas definiciones para delimitar bien cuándo nos encontramos ante una brecha de seguridad, y por tanto deberemos cumplir con determinadas obligaciones.
Es una brecha de seguridad siempre que afecte a datos personales de terceros (y no nos encontremos ante un uso doméstico de los mismos):
- La pérdida de un ordenador.
- El robo de un móvil.
- Una inundación, incendio (cualquier desastre natural) en la que se ven afectados los recursos materiales.
- El uso de cualquier dispositivo (electrónico o no) por un tercero no autorizado.
No tiene por qué suponer una brecha de seguridad en los datos personales:
- Un robo en una oficina, siempre que no se lleven dispositivos que contengan datos personales.
- El uso de un tercero de los datos personales si se cumplen los requisitos establecidos en el RGPD.
- Deshacernos de soportes que contengan datos personales si se cumplen las medidas de seguridad adecuadas.
Una vez que tenemos claro que hemos sufrido una violación en la seguridad de nuestros datos,
¿Qué debemos hacer ante una brecha de seguridad?
Ante una violación de seguridad de la que se derive un riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe:
- Notificar a la AEPD sin dilación indebida, y en el plazo máximo de 72 horas la misma.
- La notificación debe contener:
- Descripción del hecho acaecido y, si es posible, número de afectados y categorías de datos en riesgo.
- Comunicar datos de contacto del DPO.
- Describir las posibles consecuencias de la violación de seguridad.
- Describir las medidas adoptadas para poner remedio a la violación de seguridad.
- Cualquier violación de seguridad,además de ser notificada a la AEPD, se debe documentar y el documento se debe mantener a disposición de la AEPD.
- Se debe informar al interesado cuyos datos personales están en riesgo (salvo algunas excepciones).
Ejemplos de brechas de seguridad que obligan a los responsables del tratamiento a adoptar estas medidas:
- Documentación perdida, robada,o depositada en un lugar inseguro.
- Datos personales enviados por error.
- Datos personales mostrados al individuo incorrecto.
- Malware.
- Phishing.
- Hacking.
La AEPD ha publicado una guía que nos servirá para gestionar este tipo de incidentes y puedes conseguir en este enlace.
Además, existe un formulario elaborado por la AEPD a fin de facilitar la notificación de las brechas de seguridad (este formulario no es obligatorio como requisito formal para realizar la notificación): Formulario
Espero que os haya gustado la entrada, y para cualquier duda podéis poneros en contacto conmigo.
*Todas las imágenes son de freepik.
Comentarios recientes