Todas las entidades, tarde o temprano, sufrirán una brecha de seguridad que afectará a la información.
Sus consecuencias serán que los datos personales que maneja la entidad se vean seriamente comprometidos.
A continuación veremos cómo se debe actuar ante una brecha de seguridad para gestionar este grave incidente de la forma más óptima posible.

¿Qué es?

 

Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos ellos son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.

¿Cómo se gestiona?

El responsable de tratamiento debe llevar a cabo las siguientes fases:

  1. Fase de preparación para responder ante los incidentes de seguridad
  2. Fase de detección e identificación
  3. Fase de Registro
  4. Fase de Clasificación y Valoración

Para tratar una brecha de seguridad, se deberá llevar a cabo un plan de actuación en el que se determinen los recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento.

 

¿Qué debe hacer el responsable de tratamiento?

 

El responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes de seguridad y es recomendable que tengan un procedimiento de respuesta ante incidentes de seguridad.

Determinado el incidente de seguridad, es necesario entrar en una primera fase de análisis que permita recabar información y clasificar el incidente con mayor precisión, identificando a los sujetos implicados en el plan de actuación.

Sujetos que colaboran y actúan en su gestión

 

  • Responsable del tratamiento.
  • Delegado de Protección de Datos (DPD).
  • Autoridad de control competente.

 

Fases del plan de actuación

 

  1. Fase de análisis y clasificación: Desde que se detecta, hemos de tener en cuenta diferentes aspectos, como: recopilación y análisis de la información relativa a dicho incidente, clasificación, determinar si nos encontramos ante una brecha de seguridad, etc.
  1. Proceso de respuesta: Durante el proceso de respuesta, se intenta contener el incidente mediante la eliminación de la situación ocasionada y finaliza por las acciones de recuperación.
  1. Proceso de notificación: Aparte de las notificaciones internas que se deban llevar a cabo para gestionar un incidente de seguridad se deberá notificar a la autoridad de control (art.33 RGPD) como al propio interesado (art.34 RGPD), son obligaciones del responsable del tratamiento, aunque puede delegar la ejecución de las mismas en otras figuras.
  1. Seguimiento y cierre: Siguiendo las directrices de la Agencia Española de Protección de Datos, debemos destacar las siguientes tareas:
  1. Valoración de contratación de un experto.
  2. Valoración de adopción de medidas procesales.
  3. Realización de un informe final sobre la brecha de seguridad.
  4. Cierre de la brecha de seguridad

 

Una vez confirmada, debemos centrarnos en el desarrollo del proceso de respuesta.

Fases del proceso de respuesta

  1. Contención del incidente
  2. Solución/Erradicación
  3. Recuperación
  4. Recolección y custodia de evidencias
  5. Comunicación/Informe de resolución

 

¿Es obligatorio notificar una brecha de seguridad?

 

Hemos de tener en cuenta que en todas las entidades pueden suceder incidentes de seguridad y por ello hay que gestionarlos de la mejor manera posible.

El art. 33.5 RGPD nos dice que “El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo”.

Por tanto, el responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes, además es recomendable que tengan un procedimiento de respuesta ante éstos.

¿A quién debemos notificarla?

 

 Una vez confirmada la incidencia debemos de notificarla obligatoriamente, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas física, según lo mencionado en el art. 33.1 RGPD, a tres entes principales:

  • A la Autoridad de Control, la notificación a la Autoridad de Control correspondiente debe efectuarse en las primeras 72 horas, desde el momento que se tiene constancia de la incidencia. Ahora bien, si en el momento de la notificación no fuese posible facilitar toda la información, podrá entregarse posteriormente de forma gradual, en varias fases. Cuando el responsable efectúe la primera notificación, deberá informar si proporcionará más información posteriormente. También podrá aportar información adicional mediante comunicaciones intermedias a la autoridad de control bajo petición de esta, o cuando el responsable considere adecuado actualizar la situación de la misma.
  • Notificación al interesado, el art. 34 RGPD hace referencia a la comunicación de la brecha de seguridad a los interesados “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”. Debemos de tener en cuenta factores como, cuáles son las obligaciones legales y contractuales, riesgos que implica la pérdida de datos, entre otras, para poder decidir si se va a comunicar a los interesados o no.
  • Por último, existen algunas excepciones, dónde no será necesaria la notificación a la Autoridad de Control cuando el responsable pueda demostrar, que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas. Asimismo, no será necesaria la comunicación a los afectados conforme a lo dispuesto en el art. 34.3 RGPD:
    • No se notificará a la AEPD cuando:
      • El responsable demuestre que ésta no supone alto riesgo para los derechos y libertades de las personas físicas.
    • No se comunicará al interesado cuando:
      • El responsable ha adoptado medidas de protección técnicas y organizativas adecuadas. (cifrado de datos).
      • Se han aplicado medidas posteriores que garanticen que ya no existe probabilidad de alto riesgo.

Minimiza los riesgos de sufrir un ciberataque formándote con nuestro curso “Ciberseguridad Laboral y Personal”.