Es muy habitual que un virus nos ataque el ordenador y normalmente se suele solucionar sin mayor problema.
¿Pero, y si ese virus te supone una pérdida de información de tus clientes?, ¿no sabes a dónde han ido esos datos?
Anteriormente lo apuntabas en el Registro de Incidencias, lo solucionabas y no había ningún problema.
¡Pero cuidado! Con la entrada en vigor del Reglamento General de Protección de Datos, debes comunicarlo.
¿Sabes de cuánto tiempo dispones?, ¿a quién tienes que comunicarlo?
No te preocupes, a continuación te daremos las claves para que puedas gestionar una ataque hacia tus sistemas informáticos.
- ¿Qué es una brecha de seguridad?
- ¿Donde está regulada?
- Pasos a seguir para la gestión de una brecha de seguridad
- Apuntar en el registro interno la incidencia detectada
- Averiguar si supone un riesgo para los derechos y libertades de los afectados
- Que pueda provocar daños y perjuicios físicos, materiales o inmateriales
- Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen
- En los casos en los que se evalúen aspectos personales
- En los casos en los que se traten datos personales de personas vulnerables, en particular niños
- Notificación de la brecha de seguridad
- Notificar a las personas afectadas la brecha de seguridad
- Sanciones
- Plan de actuación
- Respuesta a las brechas de seguridad
- Preguntas más frecuentes
¿Qué es una brecha de seguridad?
Una violación o brecha de seguridad es un concepto muy amplio.
No hay una definición expresa en ningún artículo en la normativa.
Puede ser una modificación sin permiso del administrador de una base de datos , una pérdida parcial o total de la misma, o incluso la destrucción de las copias de seguridad.
Estos incidentes deben ser tratados con suma cautela y tal como indica la normativa, porque no solo supone un agravio para tu empresa, si no que esos datos de tus clientes puede caer en malas manos y ellos también sufrir las consecuencias.
¿Donde está regulada?
RGPD
En los Considerandos dice que una brecha de seguridad es «toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos».
Asimismo el Reglamento General de Protección de Datos enuncia en los artículos 33 y 34 que las brechas de seguridad deben ser notificadas a la autoridad de control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
¿Esto que quiere decir? Que siempre que en el ataque se vean afectados datos de carácter personal de personas físicas deberemos comunicarlo a la Agencia Española de Protección de Datos.
Además, deberemos notificarla en un plazo máximo de 72 horas a contar desde que tengamos conocimiento de la brecha.
LOPD
En la nueva Ley Orgánica de Protección de Datos, no viene regulado expresamente.
Pero no hace falta ya que esta ley se encuentra bajo el ámbito del RGPD.
Solo se hace mención en el artículo 72 que el incumplimiento de esta obligación será considerado como muy grave.
LGT
En la Ley General de Telecomunicaciones se contempla esta obligación también para un sector en específico, los operadores de servicios de comunicaciones electrónicas que ofertan sus servicios al público.
Pasos a seguir para la gestión de una brecha de seguridad
Apuntar en el registro interno la incidencia detectada
El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.
Una vez resuelta la brecha se deberá también registrar la solución al problema.
Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.
Averiguar si supone un riesgo para los derechos y libertades de los afectados
¡Este paso es clave!, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.
¿Pero como saber si supone un riesgo?
El legislador, en su infinita sabiduría, nos ha dotado de una serie de criterios y ejemplos para poder dilucidarlo.
Se encuentran recogidos en el considerando 75 del RGPD y son los siguientes:
Que pueda provocar daños y perjuicios físicos, materiales o inmateriales
- problemas de discriminación
- usurpación de identidad o fraude
- pérdidas financieras
- daño para la reputación
- pérdida de confidencialidad de datos sujetos al secreto profesional
- reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo
Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen
- el origen étnico o racial
- las opiniones políticas
- la religión o creencias filosóficas
- la militancia en sindicatos
- el tratamiento de datos genéticos
- datos relativos a la salud o datos sobre la vida sexual
- relativos a las condenas e infracciones penales o medidas de seguridad conexas
En los casos en los que se evalúen aspectos personales
- en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
- situación económica
- datos de salud
- preferencias o intereses personales
- fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales
En los casos en los que se traten datos personales de personas vulnerables, en particular niños
Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.
Notificación de la brecha de seguridad
Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.
La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.
¿Quién debe notificar las brechas de seguridad?
El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.
¿Y si mi empresa tiene DPO?
En este caso será el Delegado de Protección de Datos el encargado de la notificación.
¿Existe un plazo determinado?
Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.
Contenido mínimo de la notificación
La notificación ha de incluir un contenido mínimo:
- La naturaleza de la violación, categorías de datos y de interesados afectados
- medidas impuestas por el responsable para resolver esa quiebra
- si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados
Registro Electrónico
La AEPD dispone de un registro mediante el cual electrónicamente, y siguiendo unos sencillos pasos se puede notificar ante la misma la brecha de seguridad.
En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.
Notificar a las personas afectadas la brecha de seguridad
Con el nuevo principio de accountabilty (o rendición de cuentas), la normativa también exige que se comunique al afectado ( a nuestro cliente ), sin dilación indebida.
Excepciones
No obstante, en aras de no preocupar al interesado son razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:
- El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
- Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.
Sanciones
Como estaremos oyendo por todos lados, la nueva normativa endurece las sanciones de forma considerable.
Por ejemplo, en este caso, si incumplimos la obligación de notificar las brechas de seguridad seremos considerados infractores graves, lo cual nos puede acarrear sanciones en forma de multa administrativa:
- de 10 millones de euros como máximo
- una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior
Siempre se optará por el de mayor cuantía.
Atenuantes
No obstante hay que destacar que , como toda multa administrativa, la cuantía de la sanción varía debido a las circunstancias de cada caso individual.
Por lo tanto es muy importante que contemos con planes de contingencia para este tipo de sucesos y establezcamos protocolos para gestionar las notificación y solucionar los problemas de seguridad cuanto antes.
La AEPD valorará para la imposición de la sanción estos protocolos y que ha fallado.
¡Que no te pillen sin nada!
Plan de actuación
Una vez que hemos comprobado que existe una brecha de seguridad y que ya la hayamos comunicado a quien corresponda. Debemos realizar una serie de actuaciones que nos van a servir para determinar si es necesario:
- contratación de un forense digital experto,
- adoptar medidas procesales,
- realizar un informe final sobre la brecha de seguridad y
- realizar un informe sobre cómo se va a producir el cierre de la brecha de seguridad.
Análisis de forense digital experto
En este documento se van a plasmar los hechos. Y estos informes van a tener importancia administrativa y judicial (si se da el caso).
Adoptar medidas procesales
Estas medidas nos sirvan para determinar el autor o persona responsable y para intentar conseguir la reparación del daño causado. Ahora bien, antes de iniciar acciones judiciales debemos valorar si con este procedimiento, el daño ocasionado aumenta (se considera que el perjuicio puede aumentar cuando, por ejemplo, se vea afectada la imagen de la empresa).
Informe final sobre la brecha de seguridad
Este documento debe contener toda la documentación relativa a la brecha de seguridad. Además, debe recoger un impacto final con el fin de que se facilite el estudio del incidente y que pueda servir para prevenir casos similares en un futuro.
Cierre de la brecha de seguridad
Tras la realización de todas las actuaciones anteriores se realiza el cierre de la brecha de seguridad.
A modo de resumen, es importante y necesario que las empresas tengan unas medidas para poder actuar en estos casos, activar sus protocolos y una vez que la situación esté controlada, se debe notificar a la autoridad de control (AEPD), pero nunca superando el plazo máximo establecido de 72 horas.
Respuesta a las brechas de seguridad
La mayoría de las acciones de respuesta a brechas de seguridad correrán a cargo de un equipo de respuesta a incidentes dentro del servicio de informática o del equipo de seguridad informática correspondiente, que podrá formar parte de la empresa o estar completamente externalizado.
Durante el proceso de respuesta se distinguen una serie de fases:
- Contener el incidente,
- Erradicar la situación generada por el incidente y
- Acciones de recuperación oportunas.
Estas fases no están perfectamente diferenciadas y es habitual que haya cierto solapamiento entre las mismas.
Contener el incidente
La contención del incidente proporciona tiempo para desarrollar una estrategia de respuesta a medida.
Una parte esencial de la contención es la toma de decisiones rápidas como puede ser cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.
Es una buena práctica que las empresas desarrollen políticas de actuación para la gestión de los incidentes en general y de los incidentes vinculados con datos personales en particular.
Ejemplo
En el equipo de un usuario de una pequeña empresa se detectan archivos con caracteres extraños y comportamientos anómalos del equipo. Una primera medida de contención podría ser
desconectar el cable de red y/o desconectarlo de la red wifi. Si se han establecido los procedimientos apropiados, esta medida la puede tomar el propio usuario de forma rápida antes incluso de confirmar si se trata de un incidente de seguridad.
Erradicar la situación
Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar cuentas de usuario vulneradas.
Tras la aplicación de las medidas se debe verificar el correcto funcionamiento de éstas, confirmando su idoneidad para la erradicación del incidente. De ser así, se dará por terminada esta fase.
Se deberán de tomar medidas que eviten o eliminen la posibilidad de que un incidente vuelva a producirse. En este sentido será necesario alimentar el plan de riesgos de la entidad afectada
revisando si el mapa de riesgos contemplaba la amenaza que ha dio lugar a la brecha de seguridad y, en caso afirmativo, reevaluar las medidas de salvaguarda asociadas a fin de garantizar su efectividad.
Acciones de recuperación
Esta fase tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa.
Deben aplicarse acciones y controles como:
- Selección estrategia. Teniendo en cuenta el riesgo que quiera asumir la entidad así como la eficiencia y costes de las distintas opciones planteadas, se seleccionará la estrategia que deberá seguirse en el futuro.
- Implementación de medidas preventivas
- Revisar el análisis de riesgos y aplicar controles adicionales y periódicos para evitar futuros incidentes similares
Preguntas más frecuentes
Si bien en los apartados anteriores se ha intentado hacer una exposición clara y concisa de las brechas de seguridad y su notificación, a nuestros clientes siempre les surgen dudas, por lo que continuación hemos hecho acopio de las mismas, a si que ¡Esto te interesa!
¿Que ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?
Como el 99,9% de las entidades, contratamos con terceros que nos prestan algún servicio, como la gestoría que nos lleva la nóminas, la empresa de informática, etc.
Estos tienen acceso a parte de los datos de los que somos responsables, y también pueden sufrir una brecha de seguridad.
Si eso pasa, deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.
Para que no se le «olvide» al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.
¿Puedo usar la misma notificación para la AEPD y para el interesado?
No.
La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.
¿Tengo que notificar siempre la brecha de seguridad?
Sí y no. No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas. Los casos que recoge la guía donde no habría obligación de comunicar estas brechas se describen a continuación.
- Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad
- Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados
- Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa
Esperamos que con este breves palabras te haya quedado más claro lo que es una brecha de seguridad y como gestionar su notificación.
Puedes completar esta información con la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD.
No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto contáctenos en el Tlf 91 489 64 19, y uno de nuestros abogados estará encantado de atenderte.