Cómo gestionar las brechas de seguridad según el nuevo reglamento de protección de datos

490
Brechas de seguridad

Una de las novedades más importantes que contiene el Reglamento Europeo de Protección de Datos radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados.

Esto significa que, ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.

La obligación que con la LOPD solo afectaba a las empresas de telecomunicaciones y a los proveedores de acceso a Internet o ISP, con el Reglamento general europeo de protección de datos se va a ampliar a cualquier responsable del tratamiento, no ya solo las empresas del sector de las comunicaciones electrónicas.

Se debe informar tanto a la Agencia de Protección de datos como al afectado si esta brecha afecta negativamente a la protección de los datos personales o a la privacidad del interesado.

 

Notificación al afectado

Se debe notificar al afectado si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un cliente o particular.

En este caso deberá informar de las posibles consecuencias de la violación para el particular, especialmente, si puede conllevar fraude o usurpación de su identidad, daños físicos, sufrimiento psicológico humillación o perjuicio reputacional.

También se debe informar de las propias circunstancias en que se haya producido la violación de datos personales sobre las medidas tendentes a atenuar los posibles efectos.

La comunicación al afectado se realizará por vías de comunicación que garanticen una “pronta recepción de la información y sean seguras con arreglo al estado actual de la técnica”.

 

Cuando no será obligatoria la notificación a los afectados

Cuando la intrusión y la violación de datos no pueda afectar negativamente a los datos personales o a la intimidad del particular.

Cuando los datos extraídos estén debidamente cifrados y sean incomprensibles y, consecuentemente, la intrusión y la violación de datos no pueda afectar negativamente a los datos personales o a la intimidad del particular.

 

Notificación a la autoridad de control

La notificación a la autoridad de control (en el caso español la Agencia Española de Protección de Datos) será obligatoria respecto a determinadas categorías de datos, como los relativos a infracciones penales o cuentas bancarias.

La comunicación a la agencia española de una violación de datos personales debe estar documentado e incluir:

  • Número de interesados afectados.
  • Tipos y categorías de datos.
  • Descripción Datos de contacto del delegado (DPO)
  • Efectos y consecuencias de la brecha.
  • Medidas tendentes a atenuar los posibles efectos y medidas adoptadas.

 

¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?

Si la brecha se produce por parte del encargado del tratamiento, este deberá alertar e informar al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.

Retos que plantea a las empresas la comunicación de brechas

La obligada comunicación de brechas en caso de producirse obliga a las empresas a incorporar procedimientos que permitan:

  • Documentar adecuadamente este tipo de incidencias.
  • Definir un plan de comunicación de brechas, tanto para los afectados como para la autoridad de control, definiendo competencias, tiempos de ejecución y modelo de comunicación para cada caso.
  • Contar con un plan de contingencias que permita subsanarlas en el menor tiempo posible, minimizar el impacto y reforzar la seguridad interna.

Otro reto radica en la implantación de medidas de seguridad adecuadas, incluidos los sistemas de detección y análisis de intrusiones necesarios que permiten proteger los datos de los particulares y la información privada de la empresa, establecer mecanismos de prevención de ataques informáticos y fundamentalmente, evitar estas brechas de seguridad que requieran notificación a la agencia y los afectados.

Ante las obligaciones legales de notificar y denunciar (con el consiguiente daño reputacional y de credibilidad), una adecuada implementación de medidas de seguridad acompañada de procesos de concienciación y formación a empleados, análisis y control continuo, constituyen sin duda la mejor defensa.

  

Fuente: securityartwork