• LinkedIn
  • Twitter
  • Facebook
  • YouTube

Procedimiento brechas de seguridad

Los incidentes de seguridad que se detecten deben ser gestionados de forma eficiente y efectiva, asegurando que se establecen contramedidas adecuadas para evitar que se reproduzca de nuevo el incidente.

Tras la resolución de cada incidente, se debe llevar a cabo un análisis cuyo objetivo es adquirir el conocimiento necesario para eliminar la debilidad o vulnerabilidad que lo generó y para mejorar la respuesta ante futuros incidentes relacionados.

Es un concepto muy amplio, podemos hablar de modificaciones de datos, robo de información, pérdida total o parcial de los datos, destrucción de las copias de seguridad.

El RGPD nos dice que una brecha es “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

¿Cuándo tenemos que notificarla?

El RGPD estipula en sus artículos 33 y 34 que las brechas de seguridad tienen que ser notificadas a la agencia de

protección de datos cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas, y debemos de hacer en un plazo máximo de 72 horas a contar desde el conocimiento de la brecha.

La forma o procedimiento de actuar sería la siguiente:

  1. Registrar la incidencia detectada
  2. El responsable del tratamiento debe notificar al Delegado de Protección de Datos (This email address is being protected from spambots. You need JavaScript enabled to view it.) o al Responsable de Seguridad de la Información (This email address is being protected from spambots. You need JavaScript enabled to view it.) esta incidencia o brecha; en caso de ser detectado por un tercero, ya sea una persona, o un encargado del tratamiento, deberá notificar al responsable del tratamiento:

    • Lugar
    • Día
    • Hora de la detección
    • Sistemas y datos afectados

    Una vez resuelta la brecha, se deberá registrar la solución.

  3. Averiguar si supone un riesgo para los afectados
  4. El Delegado de Protección de Datos y el Responsable de Seguridad de la Información  valorará si la brecha de seguridad ha supuesto un riesgo para los afectados, en el considerando 75 del RGPD aparecen algunos ejemplos que pueden ayudar a tomar la decisión.

    Que pueda provocar daños y perjuicios físicos, materiales o inmateriales

    • problemas de discriminación
    • usurpación de identidad o fraude
    • pérdidas financieras
    • daño para la reputación
    • pérdida de confidencialidad de datos sujetos al secreto profesional
    • reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo

    Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen

    • el origen étnico o racial
    • las opiniones políticas
    • la religión o creencias filosóficas
    • la militancia en sindicatos
    • el tratamiento de datos genéticos
    • datos relativos a la salud o datos sobre la vida sexual
    • relativos a las condenas e infracciones penales o medidas de seguridad conexas

    En los casos en los que se evalúen aspectos personales

    • en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
    • situación económica
    • datos de salud
    • preferencias o intereses personales
    • fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales

    En los casos en los que se traten datos personales de personas vulnerables, en particular niños

  5. Notificar a las personas afectadas la brecha de seguridad
  6. La normativa también exige que se comunique al afectado, sin dilación indebida la brecha de seguridad.

    No obstante, en aras de no preocupar al interesado son razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:

    • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
    • Cuando el responble haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
    • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.
  7. Notificación de la brecha de seguridad a la agencia

El DPO es el encargado de la notificación de la brecha en un plazo de 72 horas desde el conocimiento de la misma.

El contenido de la notificación debe incluir como mínimo:

  • La naturaleza de la brecha, categorías de datos y los interesados afectados
  • Medidas impuestas por el responsable para resolver esa brecha
  • Si procede, medidas adoptadas para reducir los posibles efectos negativos sobre los interesados

La notificación se realizará telemáticamente en esta web, es necesario utilizar un certificado digital

https://sedeagpd.gob.es/sede-electronica-web/vistas/formQuiebraSeguridad/procedimientoQuiebraSeguridad.jsf