El incidente de seguridad o brecha de seguridad de datos personales puede tener un origen accidental o intencionado y además pueden afectar a datos tratados digitalmente o en formato papel.
Se produce un incidente de seguridad cuando se da un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
Cuando se produce el responsable de tratamiento debe poner en marcha el plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.
Cuando se sufre un incidente de seguridad o brecha de seguridad, se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados:
- Medio por el que se ha materializado la brecha: se ha perdido un dispositivo con datos personales, se ha producido un robo, se han publicado datos personales por error o se ha enviado a un destinatario equivocado, un ransomware ha cifrado un dispositivo, se ha producido una intrusión no autorizada en un sistema de información con datos personales, un empleado ha sido víctima de phishing, etc.
- Origen de la brecha, si ha sido interna o externa y su intencionalidad.
- Categorías de datos: que datos están afectados, si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como puedan ser datos de salud.
- Volumen de datos afectados, tanto en número de registros afectados como en número de personas afectadas.
- Categorías de afectados: clientes, empleados, estudiantes, abonados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
- Información temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de seguridad.
La empresa u organización como responsable de tratamiento debe prepararse para afrontrar este tipo de incidentes. Desde establecer quién y qué acciones se ejecutarán en caso de producirse.
Ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber te permitirá implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal y adoptar medidas para que no se produzcan o te permitirán minificar el impacto cuando se producen.
Comunicación del incidente a los afectados
Una brecha o incidente de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc. y además puede producir estos efectos con diferentes grados de severidad, por lo que debemos pensar en los beneficios que aporta el que los afectados sean conscientes que se esa brecha ha tenido lugar.
Por lo que una vez producido, la empresa responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad.
El Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 promueve una cultura para la gestión diligente de los datos personales por parte de los encargados y responsables del tratamiento.
Debe crearse un procedimiento de gestión de brechas o incidentes de seguridad que permita minimizar el impacto sobre los afectados, estableciendo mecanismos para que puedan ser conscientes y puedan tomar medidas.
Para realizar esta valoración correctamente es de suma importancia tener el registro de actividades de tratamiento y el análisis de riesgo previamente elaborado y actualizado.
Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en la Sede electrónica.
Si además entraña un alto riesgo deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que tendrá que valorar si notifica ante la AEPD y comunicar a los afectados. Tener un contrato firmado con el encargado del tratamiento es esenciar para depurar responsabilidades.
Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado.
Este documento no es opcional, puede ser exigible en cualquier momento por parte de la AEPD.
Además, tan importante es saber cómo solucionar una brecha de seguridad y minimizar las consecuencias sobre los afectados, cómo aprender de ella. Crear una cultura del error, conocer qué ha fallado en los procedimientos de gestión de la información, te ayudará a evitar que vuelva a producirse y a mejorar la gestión.
0 comentarios