Es muy habitual que un virus nos ataque el ordenador y normalmente se suele solucionar sin mayor problema.
¿Pero, y si ese virus te supone una pérdida de información de tus clientes?, ¿no sabes a dónde han ido esos datos?
Anteriormente lo apuntabas en el Registro de Incidencias, lo solucionabas y no había ningún problema.
¡Pero cuidado! Con la entrada en vigor del Reglamento General de Protección de Datos, debes comunicarlo.
¿Sabes de cuánto tiempo dispones?, ¿a quién tienes que comunicarlo?
No te preocupes, a continuación te daremos las claves para que puedas gestionar una ataque hacia tus sistemas informáticos.
- ¿Qué es una brecha de seguridad?
- ¿Donde está regulada?
- Pasos a seguir para la gestión de una brecha de seguridad
- Apuntar en el registro interno la incidencia detectada
- Averiguar si supone un riesgo para los derechos y libertades de los afectados
- Que pueda provocar daños y perjuicios físicos, materiales o inmateriales
- Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen
- En los casos en los que se evalúen aspectos personales
- En los casos en los que se traten datos personales de personas vulnerables, en particular niños
- Notificación de la brecha de seguridad
- Notificar a las personas afectadas la brecha de seguridad
- Sanciones
- Preguntas más frecuentes
¿Qué es una brecha de seguridad?
Una violación o brecha de seguridad es un concepto muy amplio.
No hay una definición expresa en ningún artículo en la normativa.
Puede ser una modificación sin permiso del administrador de una base de datos , una pérdida parcial o total de la misma, o incluso la destrucción de las copias de seguridad.
Estos incidentes deben ser tratados con suma cautela y tal como indica la normativa, porque no solo supone un agravio para tu empresa, si no que esos datos de tus clientes puede caer en malas manos y ellos también sufrir las consecuencias.
¿Donde está regulada?
RGPD
En los Considerandos dice que una brecha de seguridad es “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.
Asimismo el Reglamento General de Protección de Datos enuncia en los artículos 33 y 34 que las brechas de seguridad deben ser notificadas a la autoridad de control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
¿Esto que quiere decir? Que siempre que en el ataque se vean afectados datos de carácter personal de personas físicas deberemos comunicarlo a la Agencia Española de Protección de Datos.
Además, deberemos notificarla en un plazo máximo de 72 horas a contar desde que tengamos conocimiento de la brecha.
LOPD
En la nueva Ley Orgánica de Protección de Datos, no viene regulado expresamente.
Pero no hace falta ya que esta ley se encuentra bajo el ámbito del RGPD.
Solo se hace mención en el artículo 72 que el incumplimiento de esta obligación será considerado como muy grave.
LGT
En la Ley General de Telecomunicaciones se contempla esta obligación también para un sector en específico, los operadores de servicios de comunicaciones electrónicas que ofertan sus servicios al público.
Pasos a seguir para la gestión de una brecha de seguridad
Apuntar en el registro interno la incidencia detectada
El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.
Una vez resuelta la brecha se deberá también registrar la solución al problema.
Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.
Averiguar si supone un riesgo para los derechos y libertades de los afectados
¡Este paso es clave!, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.
¿Pero como saber si supone un riesgo?
El legislador, en su infinita sabiduría, nos ha dotado de una serie de criterios y ejemplos para poder dilucidarlo.
Se encuentran recogidos en el considerando 75 del RGPD y son los siguientes:
Que pueda provocar daños y perjuicios físicos, materiales o inmateriales
- problemas de discriminación
- usurpación de identidad o fraude
- pérdidas financieras
- daño para la reputación
- pérdida de confidencialidad de datos sujetos al secreto profesional
- reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo
Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen
- el origen étnico o racial
- las opiniones políticas
- la religión o creencias filosóficas
- la militancia en sindicatos
- el tratamiento de datos genéticos
- datos relativos a la salud o datos sobre la vida sexual
- relativos a las condenas e infracciones penales o medidas de seguridad conexas
En los casos en los que se evalúen aspectos personales
- en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
- situación económica
- datos de salud
- preferencias o intereses personales
- fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales
En los casos en los que se traten datos personales de personas vulnerables, en particular niños
Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.
Notificación de la brecha de seguridad
Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.
La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.
¿Quién debe notificar las brechas de seguridad?
El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.
¿Y si mi empresa tiene DPO?
En este caso será el Delegado de Protección de Datos el encargado de la notificación.
¿Existe un plazo determinado?
Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.
Contenido mínimo de la notificación
La notificación ha de incluir un contenido mínimo:
- La naturaleza de la violación, categorías de datos y de interesados afectados
- medidas impuestas por el responsable para resolver esa quiebra
- si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados
Registro Electrónico
La AEPD dispone de un registro mediante el cual electrónicamente, y siguiendo unos sencillos pasos se puede notificar ante la misma la brecha de seguridad.
En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.
Notificar a las personas afectadas la brecha de seguridad
Con el nuevo principio de accountabilty (o rendición de cuentas), la normativa también exige que se comunique al afectado ( a nuestro cliente ), sin dilación indebida.
Excepciones
No obstante, en aras de no preocupar al interesado son razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:
- El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
- Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.
Sanciones
Como estaremos oyendo por todos lados, la nueva normativa endurece las sanciones de forma considerable.
Por ejemplo, en este caso, si incumplimos la obligación de notificar las brechas de seguridad seremos considerados infractores graves, lo cual nos puede acarrear sanciones en forma de multa administrativa:
- de 10 millones de euros como máximo
- una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior
Siempre se optará por el de mayor cuantía.
Atenuantes
No obstante hay que destacar que , como toda multa administrativa, la cuantía de la sanción varía debido a las circunstancias de cada caso individual.
Por lo tanto es muy importante que contemos con planes de contingencia para este tipo de sucesos y establezcamos protocolos para gestionar las notificación y solucionar los problemas de seguridad cuanto antes.
La AEPD valorará para la imposición de la sanción estos protocolos y que ha fallado.
¡Que no te pillen sin nada!
Preguntas más frecuentes
Si bien en los apartados anteriores se ha intentado hacer una exposición clara y concisa de las brechas de seguridad y su notificación, a nuestros clientes siempre les surgen dudas, por lo que continuación hemos hecho acopio de las mismas, a si que ¡Esto te interesa!
¿Que ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?
Como el 99,9% de las entidades, contratamos con terceros que nos prestan algún servicio, como la gestoría que nos lleva la nóminas, la empresa de informática, etc.
Estos tienen acceso a parte de los datos de los que somos responsables, y también pueden sufrir una brecha de seguridad.
Si eso pasa, deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.
Para que no se le “olvide” al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.
¿Puedo usar la misma notificación para la AEPD y para el interesado?
No.
La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.
Esperamos que con este breves palabras te haya quedado más claro lo que es una brecha de seguridad y como gestionar su notificación.
No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto contáctenos en el Tlf 91 489 64 19, y uno de nuestros abogados estará encantado de atenderte.