El art. 4 RGPD define brecha de seguridad como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

 

Para tratar una brecha de seguridad, se deberá llevar a cabo un plan de actuación en el que se determinen los recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento.

El responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes de seguridad y es recomendable que tengan un procedimiento de respuesta ante incidentes de seguridad.

Determinado el incidente de seguridad, es necesario entrar en una primera fase de análisis que permita recabar información y clasificar el incidente con mayor precisión, identificando a los sujetos implicados en el plan de actuación.

Una vez que el incidente ha sido clasificado como una brecha de seguridad, es necesaria la colaboración y actuación de los siguientes sujetos:

  • Responsable del tratamiento: Debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Deberá notificar la brecha de seguridad a la autoridad de control competente.
  • Delegado de Protección de Datos (DPD): Determinará el plan de actuación ante la brecha de seguridad.
  • Autoridad de control competente: Se encargará de verificar que se cumple con el RGPD/LOPDPGDD en lo relativo a la gestión de la brecha de seguridad.

 

Una vez determinada la brecha de seguridad, hemos de poner en marcha el plan de actuación. Dentro de este plan de actuación vamos a distinguir diferentes fases:

  1. Fase de análisis y clasificación:

Desde que se descubre una brecha de seguridad hemos de tener en cuenta aspectos tales como:

  • Recopilación y análisis de la información relativa a la brecha de seguridad.
  • Clasificación de la brecha de seguridad.
  • Determinar si nos encontramos ante una brecha de seguridad.
  • Investigación, comunicación y coordinación de los medios implicados.
  • Puesta en marcha del plan de respuesta.
  • Puesta en marcha del proceso de notificación.
  • Estudio y activación de las medidas a adoptar.
  1. Proceso de respuesta

Durante el proceso de respuesta, se intenta contener el incidente mediante la eliminación de la situación ocasionada y finaliza por las acciones de recuperación.

  1. Proceso de notificación:

Aparte de las notificaciones internas que se deban llevar a cabo para gestionar un incidente de seguridad se deberá notificar a la autoridad de control (art.33 RGPD) como al propio interesado (art.34 RGPD), son obligaciones del responsable del tratamiento, aunque puede delegar la ejecución de las mismas en otras figuras.

  1. Seguimiento y cierre:

 Siguiendo las directrices de la Agencia Española de Protección de Datos, debemos destacar las siguientes tareas:

  1. Valoración de contratación de un experto.
  2. Valoración de adopción de medidas procesales.
  3. Realización de un informe final sobre la brecha de seguridad.
  4. Cierre de la brecha de seguridad

 

Inscríbete a nuestra newsletter y recibirás gratis la lista completa de sujetos obligados a nombrar DPO.

Elaborada por Julio César Miguel, DPO Certificado nº CP-X3-0038/2018.

Has sido añadido a nuestra newsletter