El art. 4 RGPD define brecha de seguridad como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Para tratar una brecha de seguridad, se deberá llevar a cabo un plan de actuación en el que se determinen los recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento.
El responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes de seguridad y es recomendable que tengan un procedimiento de respuesta ante incidentes de seguridad.
Determinado el incidente de seguridad, es necesario entrar en una primera fase de análisis que permita recabar información y clasificar el incidente con mayor precisión, identificando a los sujetos implicados en el plan de actuación.
Una vez que el incidente ha sido clasificado como una brecha de seguridad, es necesaria la colaboración y actuación de los siguientes sujetos:
- Responsable del tratamiento: Debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Deberá notificar la brecha de seguridad a la autoridad de control competente.
- Delegado de Protección de Datos (DPD): Determinará el plan de actuación ante la brecha de seguridad.
- Autoridad de control competente: Se encargará de verificar que se cumple con el RGPD/LOPDPGDD en lo relativo a la gestión de la brecha de seguridad.
Una vez determinada la brecha de seguridad, hemos de poner en marcha el plan de actuación. Dentro de este plan de actuación vamos a distinguir diferentes fases:
- Fase de análisis y clasificación:
Desde que se descubre una brecha de seguridad hemos de tener en cuenta aspectos tales como:
- Recopilación y análisis de la información relativa a la brecha de seguridad.
- Clasificación de la brecha de seguridad.
- Determinar si nos encontramos ante una brecha de seguridad.
- Investigación, comunicación y coordinación de los medios implicados.
- Puesta en marcha del plan de respuesta.
- Puesta en marcha del proceso de notificación.
- Estudio y activación de las medidas a adoptar.
- Proceso de respuesta
Durante el proceso de respuesta, se intenta contener el incidente mediante la eliminación de la situación ocasionada y finaliza por las acciones de recuperación.
- Proceso de notificación:
Aparte de las notificaciones internas que se deban llevar a cabo para gestionar un incidente de seguridad se deberá notificar a la autoridad de control (art.33 RGPD) como al propio interesado (art.34 RGPD), son obligaciones del responsable del tratamiento, aunque puede delegar la ejecución de las mismas en otras figuras.
- Seguimiento y cierre:
Siguiendo las directrices de la Agencia Española de Protección de Datos, debemos destacar las siguientes tareas:
- Valoración de contratación de un experto.
- Valoración de adopción de medidas procesales.
- Realización de un informe final sobre la brecha de seguridad.
- Cierre de la brecha de seguridad
