Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos los incidentes de seguridad son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.
A continuación vamos a resumir las fases que el responsable de tratamiento debe tener en cuenta para la correcta gestión de las brechas de seguridad.
1º Fase de preparación para responder ante los incidentes de seguridad
- Se realizará un análisis de riesgo o evaluación de impacto, en caso de ser necesario, para aplicar las medidas técnicas y organizativas adecuadas, para poder afrontar un incidente de seguridad y tener una efectiva capacidad de respuesta.
- Se definirán los planes de respuesta a los incidentes de seguridad.
2º Fase de detección e identificación
- El responsable o encargado del tratamiento detectarán el incumplimiento o vulneración de las medidas de seguridad a que da lugar la brecha de seguridad.
- La identificación del incidente de seguridad se hará sobre el análisis de las siguientes fuentes de información:
- Fuentes internas: medios internos de la empresa para mantener la seguridad.
- Fuentes externas: comunicación del incidente por terceras personas.
3º Fase de Registro
- La entidad debe mantener un registro de incidencias debidamente documentado, que contenga:
- Tipo de incidente.
- Descripción del incidente.
- Nivel de Gravedad.
- Medidas adoptadas para su resolución.
4º Fase de Clasificación y Valoración
- Determinar la clasificación de la brecha de seguridad que podrá ser:
- Brecha de confidencialidad.
- Brecha de integridad.
- Brecha de disponibilidad.
- Valorar la peligrosidad del incidente y la magnitud del impacto en los individuos.
- Recurriremos para ello al análisis de riesgos o evaluación de impacto realizado previamente.
- Para clasificar la peligrosidad de un incidente seguiremos las directrices proporcionadas por la AEPD:
- La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados: (Crítico, Muy Alto, Alto, Medio, Bajo).
- Naturaleza, sensibilidad y categorías de los datos personales afectados: (Datos de escaso riesgo, Datos de comportamiento, Datos financieros, Datos sensibles).
- Datos legibles/ilegibles: Datos protegidos mediante algún sistema de seudonimización.
- Volumen de datos personales: expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.).
- Facilidad de identificación de individuos: facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la brecha.
- Severidad de las consecuencias para los individuos: (Baja, Media, Alta, Muy Alta).
- Características especiales de los individuos: Si afectan a individuos con características especiales o con necesidades especiales.
- Número de individuos afectados: Dentro de una escala determinada, por ejemplo, más de 100 individuos.
- Características especiales del responsable del tratamiento: En base a la actividad de la entidad.
- El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial.
- El número y tipología de los sistemas afectados.
- El impacto que la brecha puede tener en la organización: (Bajo, Medio, Alto).
- Los requerimientos legales y regulatorios: Notificación de la brecha a la Autoridad de Control y cualquier otra obligación de notificación.