Ninguna empresa u organización está exenta de sufrir una brecha de seguridad, pero ¿qué ocurre cuando esa brecha o incidente de seguridad, intencionado o accidental, supone una pérdida o filtración de los datos personales que maneja y guarda la empresa? ¿Cómo deben los responsables del tratamiento gestionar las brechas de seguridad?
En este artículo no solo explicaremos qué es una brecha de seguridad, sino cómo gestionar y notificar una brecha de seguridad en protección de datos de acuerdo a la normativa vigente y la guía de brechas de seguridad de la AEPD.
En este artículo hablamos de:
- ¿Qué es una brecha de seguridad?
- ¿Qué normativas regulan las brechas de seguridad?
- Tipos de brechas de seguridad
- ¿Cómo gestionar una brecha de seguridad? Pasos a seguir
- ¿Cómo prevenir las brechas de seguridad?
- Sanciones por no realizar la notificación en tiempo y forma
- Ejemplos de brechas de seguridad
- Preguntas frecuentes
- ¿Cuál es la principal causa de las brechas de seguridad?
- ¿Cuándo se debe comunicar una brecha de seguridad?
- ¿Qué acciones debe tomar una organización en caso de una brecha de seguridad?
- ¿Qué ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?
- ¿Puedo usar la misma notificación para la AEPD y para el interesado?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
- Nuestras oficinas
¿Qué es una brecha de seguridad?
De acuerdo a la propia AEPD, una brecha de seguridad es «un incidente de seguridad que afecta a datos de carácter personal», independientemente de si es la consecuencia de un accidente o de una acción intencionada y tanto si afecta a datos digitales o en formato papel. Además, estas brechas de seguridad provocan la «destrucción, pérdida, alteración, comunicación o acceso no autorizada de datos personales».
Por su parte, los Considerados del RGPD también nos ofrecen una definición de brecha de seguridad, entendida esta como:
Toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Es decir, que tanto para el RGPD como para la AEPD las brechas de seguridad son una violación de la seguridad, voluntaria o accidental, que conlleva como consecuencia la pérdida, destrucción o manipulación de los datos personales almacenados en el soporte atacado.
Las formas en las que se pueden producir estas brechas de seguridad son numerosas, especialmente en el entorno digital y van desde una modificación no autorizada de la base de datos, la destrucción de copias de seguridad, hasta ciberataques de diferentes tipos cuyo objetivo sea acceder a los datos personales almacenados.
¿Qué normativas regulan las brechas de seguridad?
La normativa que regula la gestión de las brechas de seguridad la encontramos recogida en diferentes leyes y reglamentos, tanto nacionales como europeos, que con el paso de los años han evolucionado y modificado para adaptarse a las nuevas necesidades en materia protección de datos, derivadas de los avances tecnológicos y la digitalización.
Debemos entender que estas normas hacen responsables a las empresas de la seguridad de datos personales que manejen y/o almacenen y que no contar con las medidas adecuadas para prevenir y evitar posibles brechas de seguridad puede conllevar denuncias de protección de datos y sanciones administrativas.
Estas son las normativas que debemos tener en cuenta a la hora de prevenir y gestionar cualquier brecha de seguridad de datos:
- RGPD: Ya hemos visto más arriba la definición que hace el RGPD de brechas de seguridad, pero el reglamento europeo introdujo una de las novedades que fue necesario incorporar a las legislaciones nacionales en materia de protección de datos. Concretamente, estableció la obligación de informar tanto a interesados como a autoridades competentes cuando se haya producido una brecha de seguridad que ponga en riesgo datos de carácter personal. En concreto, este deber de notificación de las brechas de seguridad aparece en los artículos 33 y 34, que nos dicen que el responsable del tratamiento tiene la obligación de notificar a la autoridad de control y los interesados las brechas de seguridad que puedan causar daños y perjuicios sobre las personas, para lo que se dispone de un plazo máximo de 72 horas desde que se detectó la brecha.
- LOPDGDD: Aunque la Ley Orgánica de Protección de Datos y de Garantías de Derechos Digitales no recoge explícitamente la obligación de notificar las brechas de seguridad a la AEPD, puesto que ya queda recogido en el RGPD, sí que establece el incumplimiento de dicha obligación como una infracción muy grave en su artículo 72.
- LGT: Por su parte, la Ley General de Telecomunicaciones en su artículo 60.2 y 60.3 establece la obligación de informar sobre las brechas de seguridad que puedan comprometer datos personales a los operadores de servicios de comunicaciones electrónicas disponibles al público.
Tipos de brechas de seguridad
Aunque podemos hablar de diferentes formas de provocar una brecha de seguridad, lo cierto es que a la hora de clasificarlas, existen tres tipos concretos en función de los objetivos o consecuencias de las mismas (importante no confundir los tipos de brechas de seguridad con los tipos de brecha digital, ya que son conceptos que no tienen nada que ver entre sí, aunque las brechas de seguridad pueden producirse en el entorno digital).
Brecha de confidencialidad
La brecha de confidencialidad se produce cuando ocurre un acceso no autorizado o con un propósito no legítimo a la plataforma de almacenamiento de datos o cualquier parte de la misma que pueda dejar expuestos datos personales.
Brecha de integridad
La brecha de integridad hace referencia a las manipulaciones o alteraciones de la información original almacenada en el sistema, produciéndose una sustitución de datos que podría suponer alguna clase de perjuicio.
Brecha de disponibilidad
La brecha de disponibilidad hace referencia a aquellos ataques que provocan la pérdida de acceso a los datos originales, ya sea de manera temporal o de forma permanente.
¿Cómo gestionar una brecha de seguridad? Pasos a seguir
Está claro que nadie quiere enterarse por terceros y no por quien gestiona sus datos, que su contraseña ha sido encontrada en una brecha de seguridad de datos o cualquier otro dato personal que pueda poner en riesgo su privacidad y seguridad. Por ello, como responsables del tratamiento, debéis saber cómo gestionar una brecha de seguridad.
A continuación vemos los pasos que debéis seguir para gestionar adecuadamente una brecha de seguridad, de acuerdo a las exigencias de la normativa.
Registro interno de la incidencia detectada
El responsable del tratamiento debe llevar a cabo un registro en que se recojan el lugar, día y hora de detección de la violación de seguridad, así como:
- Sistemas, datos y equipos afectados, especialmente si alguno de ellos ha sido usado para materializar el ataque. Por ejemplo, si se ha perdido un equipo portátil con acceso a datos personales o se ha producido un robo del mismo. O si ha afectado solo a un equipo o a toda la red interna de la compañía.
- Identificar el origen de la brecha de seguridad, es decir, si el ataque se ha producido desde el exterior o, por el contrario, ha venido desde dentro. Además, también se debe determinar cuál ha sido su intencionalidad u objetivo.
- Informar de la solución del problema adoptada para frenar el ataque, si ha funcionado, así como otras medidas implementadas para proteger zonas que no se hayan llegado a ver expuestas al ataque.
Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.
Valorar el alcance de la violación
A la hora de determinar si debemos comunicar una brecha de seguridad, tendremos valorar el alcance de la misma, es decir, qué categorías de datos personales e información se han podido ver afectadas por el ataque, puesto que en función de esto existirá o no la obligación de informar a la AEPD.
Para determinarlo, podemos recurrir a hacernos las siguientes preguntas:
- ¿Supone un riesgo para los derechos y libertades de los afectados?: El RGPD da una especial importancia a aquellos datos personales cuyo manejo puede suponer un riesgo para los derechos y libertades de los afectados. Por lo tanto, debemos determinar si la brecha afecta a estas categorías de datos:
- Etnia o raza.
- Opinión política.
- Convicciones religiosas o filosóficas.
- Afiliación sindical.
- Datos genéticos.
- Datos biométricos que puedan identificar inequívocamente a una persona.
- Datos relativos a la salud.
- Datos relativos a la vida sexual o la orientación sexual.
- ¿Provoca daños y perjuicios físicos, materiales o inmateriales?: ¿Qué tipo de datos pueden provocar daños y perjuicios físicos, materiales o inmateriales? El considerando 75 del RGPD recoge los siguientes:
- Problemas de discriminación.
- Usurpación de identidad o fraude.
- Pérdidas financieras.
- Daño para la reputación.
- Pérdida de confidencialidad de datos sujetos al secreto profesional.
- Reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo.
- ¿Puede privar a los interesados de sus derechos y libertades o se les impide ejercer el control sobre sus datos personales?: De nuevo, encontramos la respuesta a qué tipos de datos hace referencia en el considerando 75 del RGPD y en concreto son las mismas categorías especiales de datos que ya hemos citado más arriba, a la que se suman los datos relativos a las condenas e infracciones penales o medidas de seguridad conexas y cuando se traten datos personales de personas vulnerables, en particular, niños.
Notificación de la brecha de seguridad a la autoridad de control
Si el análisis del paso anterior nos lleva a la conclusión de que la brecha de seguridad afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro, también deberemos comunicarla.
La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la AEPD, para lo cual deberemos cumplimentar un formulario de notificación de brechas de seguridad.
Esta comunicación de la brecha de seguridad a la AEPD se hace por vía electrónica, por lo que deberemos ir siguiendo las instrucciones que aparezcan en pantalla. En cualquier caso, debemos tener en cuenta los siguientes aspectos:
- Contenido mínimo de la notificación: Esta deberá incluir:
- Naturaleza de la violación, categorías de datos y de interesados afectados.
- Medidas impuestas por el responsable para resolver el incidente.
- Si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.
- Plazo máximo para su notificación: Hay un plazo máximo de 72 horas para comunicar la brecha de seguridad a la AEPD. Este plazo comienza a computar desde el momento en que tenemos constancia del problema de seguridad.
- Excepciones: El artículo 34 del RGPD enuncia una serie de casos en los cuales no será obligada esta comunicación:
- El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado de datos.
- Cuando el responsable haya tomado con posterioridad a la brecha medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.
- El encargado de notificar las brechas de seguridad será el Responsable de Seguridad o, si no contamos con esta figura en la entidad, el representante del responsable del tratamiento.
Notificación de la brecha de seguridad a las personas afectadas
Ya hemos visto cuándo se está obligado a informar a la AEPD sobre brechas de seguridad en las empresas que afecten a los datos personales que manejan, pero ¿qué ocurre con las personas cuyos datos personales se hayan podido ver afectados por la brecha de seguridad? ¿Cuándo debemos informarles a ellos?
De acuerdo a la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD, se debe informar a los afectados por la brecha de seguridad cuando esta pueda entrañar un riesgo alto para sus derechos y libertades. Por lo tanto, si se constata este nivel de riesgo para los derechos fundamentales de los interesados cuyos datos personales se hayan visto afectados por el incidente de seguridad, el responsable del tratamiento deberá informarles de ello tan pronto como tenga constancia del problema.
Para ayudar con esta decisión de informar a los interesados sobre una brecha de seguridad, la AEPD ha creado la herramienta Comunica-Brecha RGPD.
A través de un formulario se realizan preguntas sobre nuestro sector de actividad, la propia brecha, la naturaleza y tipo de datos personales afectados, sobre los interesados, las posibles consecuencias de la brecha y cuándo se tuvo constancia de ella. Basándose en las respuestas dadas, la herramienta nos dará tres respuestas posibles:
- Se debe notificar de la brecha de seguridad a los afectados porque existe un riesgo alto.
- No es necesario informar a los afectados.
- No se puede determinar el nivel de riesgo para los afectados.
Comunica-Brecha RGPD es solo una herramienta para ayudar en la toma de decisiones, por lo que en ningún caso sustituye a la obligación de notificar la brecha de seguridad a la AEPD como ya hemos explicado, ni, en caso de que debamos hacerlo, a los afectados. En cualquier caso, es el responsable el que debe tomar la decisión, puesto que es quien conoce mejor los datos tratados y los posibles riesgos que la brecha haya podido generar para ellos.
En el supuesto de tener que informar a las personas afectadas por una brecha de seguridad, no existe un plazo concreto, pero el artículo 34 del RGPD dice que debe hacerse sin dilación indebida, por lo que debe hacerse tan pronto se haya valorado el nivel de riesgo para los derechos fundamentales de los afectados. Lo recomendable sería hacerlo en ese mismo plazo de 72 horas que tenemos para notificar a la AEPD.
Seguimiento y cierre
Una vez que hemos comprobado que existe una brecha de seguridad y que ya la hayamos comunicado a quien corresponda. Debemos realizar una serie de actuaciones que nos van a servir para determinar si es necesario:
- Contratación de un experto en informática forense: Un perito informático, tras el estudio y análisis del incidente de seguridad, elaborará un informe en el que se plasmarán todos los hechos y medidas tomadas. Este informe tendrá importancia tanto administrativa como judicial (si se da el caso).
- Adoptar medidas procesales: Estas medidas nos sirven para determinar el autor o persona responsable y para intentar conseguir la reparación del daño causado. Ahora bien, antes de iniciar acciones judiciales debemos valorar si con este procedimiento, el daño ocasionado aumenta (se considera que el perjuicio puede aumentar cuando, por ejemplo, se vea afectada la imagen de la empresa).
- Realizar un informe final sobre la brecha de seguridad: Este documento debe contener toda la documentación relativa a la brecha de seguridad. Además, debe recoger un impacto final con el fin de que se facilite el estudio del incidente y que pueda servir para prevenir casos similares en un futuro.
- Realizar un informe sobre cómo se va a producir el cierre de la brecha de seguridad: Tras la realización de todas las actuaciones anteriores se realiza el cierre de la brecha de seguridad, dejando el mismo, registrado.
¿Cómo prevenir las brechas de seguridad?
Aunque los tipos de ciberataques son bastante variados, hay una serie de medidas de seguridad que podemos tomar para prevenir que se produzcan brechas de seguridad en los sistemas informáticos de la empresa.
Además, un software para protección de datos ayudará a la empresa a llevar un control no solo sobre los tipos de datos que trata y los tratamientos de datos personales que realiza, sino también sobre las medidas de seguridad que tiene implementadas y las que podría necesitar implementar para mejorar dicha seguridad.
Utilizando contraseñas seguras
A la gente le gusta usar contraseñas fáciles de recordar; sin políticas y tecnología para hacer cumplir la selección de contraseñas adecuadas, las organizaciones corren el riesgo de tener contraseñas como «1234» como la única línea de defensa contra el acceso no autorizado a información confidencial. Ver nuestro artículo: ¿Cómo crear una contraseña segura?
Por lo tanto, elabora políticas adecuadas e implementa tecnología para garantizar que las políticas se apliquen adecuadamente y que tus empleados utilizan contraseñas robustas y complejas.
Con la doble autentificación
La doble autentificación o la verificación en dos pasos no es un método infalible al 100%, pero sí que pondrá las cosas más difíciles a un hacker. Por ello es interesante considerar su implementación para acceder a información especialmente confidencial.
Haciendo copias de seguridad
El propósito de la copia de seguridad es crear una copia de datos que se pueda recuperar en caso de un fallo de hardware o software, corrupción de datos o un evento causado por humanos, como un ataque malicioso (virus o malware) o la eliminación accidental de datos. Las copias de respaldo permiten restaurar los datos desde un punto anterior para ayudar a la empresa a recuperarse de un evento no planificado.
Almacenar la copia de los datos en un medio separado es fundamental para proteger contra la pérdida o corrupción de datos. Este medio adicional puede ser tan simple como una unidad externa o una memoria USB, o algo más sustancial, como un sistema de almacenamiento en disco, un contenedor de almacenamiento en la nube o una unidad de cinta.
Actualizando todos los sistemas
Las actualizaciones del sistema son críticas para el desempeño del negocio. Una actualización del sistema generalmente implica agregar nuevo hardware o actualizar software para aumentar la funcionalidad de un sistema. Sin embargo, las actualizaciones del sistema también tienen muchos beneficios menos conocidos, como un aumento en la vida útil y una mejor eficiencia de los equipos informáticos.
Aquí hay otras cinco razones por las que deberías molestarte en actualizar tus sistemas:
- Mayor productividad de los empleados.
- El crecimiento del negocio.
- Mejor soporte de TI.
- Seguridad del sistema mejorada.
- Garantía extendida.
Con el cifrado de dispositivos
Hay muchas herramientas comerciales y gratuitas disponibles para hacer esto; algunos sistemas operativos incluso tienen capacidades de cifrado incorporadas. Como probablemente sospechas, si no estás seguro de si algo debe cifrarse, cífralo.
Sanciones por no realizar la notificación en tiempo y forma
No cumplir con la obligación de notificar en tiempo y formar de una brecha de seguridad se considera, como decíamos, una infracción muy grave y, por tanto, puede suponer la imposición de sanciones en forma de multa administrativa.
Esta multa puede ser de hasta 10 millones de euros o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Optándose siempre por la mayor cuantía de las dos.
Por lo que si el procedimiento que hemos visto en los puntos anteriores os resulta complejo, podéis recurrir a los servicios de una consultoría de protección de datos, para que os asesore y ayude, puesto que al contratar una empresa de protección de datos, tendréis, en la gran mayoría de los casos, acceso a un servicio de asistencia en la gestión de brechas de seguridad.
Ejemplos de brechas de seguridad
Como ya hemos ido mencionando en diferentes puntos de esta entrada, existen muchas formas de crear una brecha de seguridad, en función del propósito del ataque y los objetivos que se quieran alcanzar. A continuación, y a modo de ejemplos de brecha de seguridad, tenemos algunos de los más importantes y habituales.
- Día cero: La conocida como «vulnerabilidad de día cero» o «ataques día cero» es un fallo de seguridad de software que el proveedor de software conoce, pero que no tiene un parche para solucionar el fallo. Tiene el potencial de ser explotado por los cibercriminales.
- Ataque dirigido: Un ataque dirigido se refiere a un tipo de amenaza en la cual los actores de la amenaza persiguen activamente y comprometen la infraestructura de una entidad objetivo, mientras mantienen el anonimato. Los ataques dirigidos a menudo emplean métodos similares que se encuentran en las amenazas tradicionales en línea, como correos electrónicos maliciosos, sitios comprometidos o maliciosos, exploits y malware.
- Ataque DNS o de denegación de servicio: Un ataque DNS es cualquier ataque dirigido a la disponibilidad o estabilidad del servicio DNS de una red. Estos ataques se centran en atacar la infraestructura DNS en sí, ya sea haciendo que el servicio DNS no esté disponible o subvirtiendo las respuestas proporcionadas por los servidores DNS.
- Acceso a cuentas: Existen vulnerabilidades de control de acceso interrumpidas cuando un usuario puede acceder a algún recurso o realizar alguna acción a la que se supone que no puede acceder. Si un usuario puede obtener acceso a la funcionalidad a la que no se le permite acceder, es escalada de privilegios verticales. Aquí también podemos hablar de los ataques de fuerza bruta para romper la contraseña del usuario y acceder a su cuenta o servidor.
- Código malicioso: Malware y virus es el nombre colectivo de varias variantes de software malicioso, incluidos ransomware y spyware. Abreviatura de software malicioso, el malware generalmente consiste en código desarrollado por ciberatacantes, diseñado para causar daños importantes a los datos y sistemas o para obtener acceso no autorizado a una red.
- Robo de datos: El robo de datos informáticos es el acto de robar información digital almacenada en ordenadores, servidores o dispositivos electrónicos de una víctima desconocida con la intención de comprometer la privacidad u obtener información confidencial.
- Defacement: En el ataque de defacement o desfiguración del sitio web, el pirata informático cambia la página de índice del sitio web o, a veces, opuesta al texto del sitio web. El hacker realiza este tipo de ataque para mostrar la seguridad del sitio web al propietario del sitio web. El hacker también usa este ataque para burlarse de la seguridad del sitio web.
- Vulnerabilidad en aplicaciones: Una vulnerabilidad de la aplicación es un fallo o debilidad del sistema en una aplicación que podría explotarse para comprometer la seguridad de la aplicación. Una vez que un atacante ha encontrado un fallo o vulnerabilidad de la aplicación, y ha determinado cómo acceder a ella, tiene el potencial de explotar la vulnerabilidad de la aplicación para facilitar un delito cibernético.
- Ingeniería social: El ataque de Ingeniería Social engaña a la víctima para que realice una acción que normalmente no realizaría o revela información que normalmente no compartiría. Hay una amplia gama de técnicas está involucrada en este tipo de ataque (phishing, shoulder sniffing, whaling, etc.).
Algunos de estos ataques han sido la causa detrás de los ejemplos de brechas de seguridad recientes en España, como la experimentada por BBVA en 2021, en la que se vieron afectados 4 millones de clientes del banco en una filtración de sus datos. O la del SEPE, también en 2021, que habría afectado a la información personal de millones de ciudadanos.
Preguntas frecuentes
Si bien en los apartados anteriores se ha intentado hacer una exposición clara y concisa de las brechas de seguridad y su notificación, a nuestros clientes siempre les surgen dudas, por lo que continuación hemos hecho acopio de las mismas, así que esto te interesa.
¿Cuál es la principal causa de las brechas de seguridad?
La principal causa de las brechas de seguridad es el factor humano; una empresa puede tener implementadas todas las medidas de seguridad necesarias, tener implantado un protocolo de seguridad y protección de datos, pero si alguno de los empleados no lo sigue o no lo cumple completamente, tendrá un punto débil en la cadena.
Por ese motivo es tan importante formar y concienciar a todos los miembros de la empresa, desde los directivos hasta los empleados, de la importancia de seguir el protocolo de seguridad de la información y protección de datos.
¿Cuándo se debe comunicar una brecha de seguridad?
Cómo hemos visto a lo largo de este artículo, se debe comunicar una brecha de seguridad a la AEPD y los interesados cuando esta suponga un riesgo grave para los derechos y libertades de los afectados. Y debe hacerse en un plazo no superior a 72 horas.
¿Qué acciones debe tomar una organización en caso de una brecha de seguridad?
La mayoría de las acciones de respuesta a brechas de seguridad correrán a cargo de un equipo de respuesta a incidentes dentro del servicio de informática o del equipo de seguridad informática correspondiente, que podrá formar parte de la empresa o estar completamente externalizado.
Durante el proceso de respuesta se distinguen una serie de fases y acciones:
- Contener el incidente: La contención del incidente proporciona tiempo para desarrollar una estrategia de respuesta a medida. Una parte esencial de la contención es la toma de decisiones rápidas como puede ser cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc. Es una buena práctica que las empresas desarrollen políticas de actuación para la gestión de los incidentes en general y de los incidentes vinculados con datos personales en particular.
- Erradicar la situación generada por el incidente: La erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar cuentas de usuario vulneradas. Después se debe verificar el correcto funcionamiento de las medidas aplicadas, confirmando su idoneidad para la erradicación del incidente. De ser así, se dará por terminada esta fase, siendo necesario adoptar medidas que eviten o eliminen la posibilidad de que un incidente vuelva a producirse. En este sentido, habrá que revisar si el mapa de riesgos contemplaba la amenaza que dio lugar a la brecha de seguridad y, en caso afirmativo, reevaluar las medidas de salvaguarda asociadas a fin de garantizar su efectividad.
- Acciones de recuperación oportunas: Esta fase tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa. Deben aplicarse acciones y controles como:
- Selección estrategia. Teniendo en cuenta el riesgo que quiera asumir la entidad, así como la eficiencia y costes de las distintas opciones planteadas, se seleccionará la estrategia que deberá seguirse en el futuro.
- Implementación de medidas preventivas.
- Redacción de un informe de resolución: Finalmente, se elaborará un informe de la resolución del incidente de seguridad y cómo se ha actuado para frenarlo y solucionarlo. Este informe deberá tenerse en cuenta para revisar el análisis de riesgos y aplicar controles adicionales y periódicos para evitar futuros incidentes similares.
Estas fases no están perfectamente diferenciadas y es habitual que haya cierto solapamiento entre las mismas.
¿Qué ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?
Como el 99,9% de las entidades, contratamos con un encargado de tratamiento de datos personales, como puede ser una gestoría o la empresa de informática.
Estos tienen acceso aparte de los datos de los que somos responsables, y también pueden sufrir una brecha de seguridad.
Si eso pasa, deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.
Para que no se le «olvide» al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.
¿Puedo usar la misma notificación para la AEPD y para el interesado?
No. La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.
Esperamos que este artículo te haya servido para tener más claro lo que es una brecha seguridad y cómo gestionarla y comunicarla.
No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto, no dudes en ponerte en contacto con nosotros y uno de nuestros abogados estará encantado de atenderte.