Brechas de seguridad de datos personales: qué son y cómo actuar
Brechas de seguridad de datos personales: qué son y cómo actuar
dortega
Mié, 09/18/2019
En esta entrada del blog pretendemos aclarar qué es una brecha de seguridad de datos personales, cómo debe una organización prepararse para afrontarlas, qué hacer si sucede y en qué casos hay que notificar a la AEPD y a los afectados.
I. ¿QUÉ ES UNA BRECHA DE SEGURIDAD DE DATOS PERSONALES?
Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
II. ¿QUÉ HACER?
ANTES: el responsable de tratamiento debe estar preparado para esta posibilidad, debe establecer quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.
SI SUCEDE: el responsable de tratamiento debe poner en marcha el plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.
Además, cuando se sufre una brecha de seguridad se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados.
- Medio por el que se ha materializado la brecha, es decir, qué ha ocurrido: se ha perdido un dispositivo con datos personales, se ha producido un robo, se han publicado datos personales por error o se ha enviado a un destinatario equivocado, un ransomware ha cifrado un dispositivo, se ha producido una intrusión no autorizada en un sistema de información con datos personales, un empleado ha sido víctima de phishing, etc.
- Origen de la brecha, si ha sido interna o externa y su intencionalidad.
- Categorías de datos: si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como puedan ser datos de salud.
- Volumen de datos afectados, tanto en número de registros afectados como en número de personas afectadas.
- Categorías de afectados: clientes, empleados, estudiantes, abonados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
- Información temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de seguridad.
III. NOTIFICACIÓN A LA AEPD Y COMUNICACIÓN A LOS AFECTADOS
Ante el suceso de una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad. Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc. y además puede producir estos efectos con diferentes grados de severidad, por lo que debemos pensar en los beneficios que aporta el que los afectados sean conscientes que se esa brecha ha tenido lugar.
Para realizar esta valoración correctamente es de suma importancia tener el registro de actividades de tratamiento y el análisis de riesgo previamente elaborado y actualizado.
Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en la Sede electrónica.
En cualquier caso, en la línea de proactividad y transparencia que marca el RGPD siempre es recomendable notificar ante la AEPD una brecha de seguridad en los datos personales que sufra un responsable del tratamiento.
Para rellenar el formulario es muy útil tener de antemano clara la información relevante para la brecha que se ha destacado anteriormente.
Si además entraña un alto riesgo deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que tendrá que valorar si notifica ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contratomediante el cual se establece el encargo del tratamiento.
Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.
IV. CONCLUSIONES
Con el marco establecido por el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 se promueve una cultura para la gestión diligente de los datos personales por parte de los encargados y responsables del tratamiento. Por un lado, esta nueva cultura de tratamiento de brechas de seguridad debe permitir minimizar el impacto sobre los afectados, estableciendo mecanismos para que puedan ser conscientes y puedan tomar medidas. Por otro lado, tan importante como solucionar una brecha de seguridad y minimizar las consecuencias sobre los afectados, es aprender de ella, y determinar qué ha fallado en los procedimientos de gestión de la información. Para ello, forma parte del principio de responsabilidad proactiva documentar en detalle la brecha y las acciones tomadas para gestionarla y prevenirla en el futuro.
Para ampliar información sobre cómo actuar ante una brecha de seguridad y qué aspectos deben estar planificados con anterioridad, puedes consultar nuestra Guía para la gestión y notificación de brechas de seguridad.