¿Qué son?

 

Según la Agencia Española de Protección de Datos, una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. El origen de dicho incidente puede ser accidental o intencionado y, puede afectar tanto a datos en formato digital como en papel. Este hecho suele ocasionar la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

¿Cómo evitar una brecha de seguridad?

 

Para evitar una brecha de seguridad debemos incorporar medidas de seguridad adecuadas que abarquen:

 

  • Seguridad informática en el puesto de trabajo: uso de contraseñas seguras y doble factor de autenticación.
  • Seguridad informática en la red: sistemas actualizados para así evitar las posibles vulnerabilidades y la exposición de servicios de Internet. Los accesos remotos siempre deben realizarse a través de sistemas VPN, proxy inverso o medidas igualmente eficaces.
  • Seguridad informática en los datos: se debe realizar copias de seguridad periódicas para así, si somos víctimas de secuestros de información, poder acceder a ella sin necesidad de pagar un rescate. También, debemos cifrar todos los dispositivos para asegurar la confidencialidad de la información, no solo los ordenadores portátiles, sino también los USB, teléfonos móviles, tabletas, entre otros.
  • Formación en ciberseguridad: es necesario que todos los usuarios de dispositivos tecnológicos conectados o no a Internet dispongan de unos conocimientos básicos para poder realizar un uso ciberseguro de los dispositivos. Todos estos conocimientos puedes aprenderlos en el curso online de Ciberseguridad Laboral y Personal.
  • Seguridad de los documentos en formato papel. aquellos que contengan datos personales deberán ser guardados bajo llave. En caso de que ya no sean útiles, ser destruidos de una manera segura, como por ejemplo con una destructora de papel o una empresa especializada en destruir datos.

 

¿Cuándo se debe notificar una brecha de seguridad?

 

Para saber si se debe o no notificar una brecha de seguridad, el responsable de tratamiento de datos debe valorar las consecuencias de dicha brecha sobre los usuarios afectados.

A fin de conocer estas consecuencias se debe tener previamente elaborado y actualizado el registro de actividades de tratamiento y el análisis de riesgo de la entidad.

El Reglamento General de Protección de Datos establece que si la brecha de seguridad es un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD. El plazo máximo para notificar una brecha de seguridad es de 72 horas desde que se tenga constancia de que ha ocurrido una brecha de seguridad. Aunque la AEPD recomienda siempre notificarla.

Si ésta conlleva un alto riesgo se deberá comunicar sin mayor dilación a los usuarios afectados. La comunicación se realizará a través del medio que se suela utilizar para comunicarse. Se explicará de manera clara y concisa qué es lo que ha ocurrido y qué medidas deben hacer al respecto.

Si la brecha la sufre un encargado del tratamiento, este debe informar al responsable del tratamiento, sin dilación, para que decida si notifica o no la brecha de seguridad y si es necesario comunicar dicho incidente a los afectados.

Se notifique o no a la AEPD o si se ha informado o no a los afectados, cada entidad o persona física debe llevar siempre un registro con las brechas de seguridad que le ocurran. Este control puede ser exigible por parte de la AEPD en cualquier momento.

Esta información está recogida en los artículos 33 y 34 del RGPD.

 

Conclusión

 

Debemos utilizar las herramientas necesarias para evitar una brecha de seguridad. También debemos aprender los conocimientos básicos para estar ciberseguros y aplicarlos no solo en nuestro ámbito laboral, sino también personal. Estas medidas pueden fallar, por lo que debemos de conocer cuál es el mejor protocolo de actuación ante una brecha de seguridad.

Inscríbete a nuestra newsletter y recibirás gratis la lista completa de sujetos obligados a nombrar DPO.

Elaborada por Julio César Miguel, DPO Certificado nº CP-X3-0038/2018.

Términos y condiciones

Has sido añadido a nuestra newsletter