¿Sabías que tu organización está obligada a notificar las brechas de seguridad a la Agencia Española de Protección de Datos?
28, enero 2019
asesoría jurídica, ciberseguridad, derecho tecnológico, microimplantes, prevención delitos en la empresa, protección de datos
Todas las corporaciones, ya sean micro empresa, pyme, asociación etc. estamos obligadas a notificar las brechas de seguridad detectadas a la Agencia Española de Protección de Datos (AEPD).
¿Qué es una brecha de seguridad?
El concepto de brecha de seguridad está definido en el nuevo Reglamento General de Protección de Datos europeo (el famoso RGPD o GDPR, en sus siglas en inglés). La definición indica que se considera brecha de seguridad a las “violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales» que gestionan las empresas. Estos datos personales pueden ser tanto de clientes, como de proveedores o colaboradores o de las propias personas empleadas en las organizaciones.
¿Por qué ocurren las brechas de seguridad?
Las razones más habituales por las que los datos personales que manejan las organizaciones se ven comprometidos son
- Fallos del sistema informático
- Ciber ataque o ciber crimen destinado a robar información
- Descuidos o delitos por parte de personas empleadas en la organización
Por ejemplo, en los últimos seis meses del año pasado, a partir de la entrada en vigor definitiva del RGPD, la Agencia Española de Protección de Datos (AEPD) ha recibido más de 400 notificaciones por brechas de seguridad de organizaciones.
¿Qué debemos hacer si detectamos una brecha de seguridad en nuestra organización?
Lo aconsejable y adecuado es tener un plan de acción previo en el que hayamos determinado en nuestra organización cómo actuar para detectar incidencias y qué procedimientos seguir en el caso de en efecto se produzca una brecha de seguridad.
Las brechas de seguridad se gestionan registrándolas, documentándolas al detalle y respondiendo ante ellas. Cuestiones como en qué contexto se ha producido, qué tipo de incidencia o amenaza ha ocurrido, qué información ha sido afectada y cuáles pueden ser las consecuencias (sanciones, pérdidas económicas, pérdida de clientes, crisis reputacional…). La respuesta a la incidencia dependerá en gran medida de qué tipo de brecha de seguridad hayamos sufrido. En todo caso, la supervivencia del negocio, el cuidado de la reputación y la imagen y minimizando las consecuencias serán las calves. Además de, por supuesto, tomar medidas para que no vuelva a suceder.
A la Agencia Española de Protección de Datos, AEPD, deberemos comunicar la brecha de seguridad:
- siempre que haya podido afectar a los derechos y libertades de los interesados
- lo antes posible o, como mucho, en un plazo de 72 horas desde que tuvimos conocimiento de la brecha de seguridad.
No hay que tener miedo de notificar una brecha de seguridad a la Agencia Española de Protección de Datos. El hecho de poner en su conocimiento una brecha de seguridad no implica necesariamente un procedimiento sancionador. De hecho, de las 400 notificaciones de brechas de seguridad en pymes y organizaciones que comentábamos antes, apenas 11 se han visto implicadas en una investigación posterior.
A las personas cuyos datos se hayan podido ver comprometidos también hay que comunicarles la incidencia cuando haya perjuicios graves para ellos, de manera que puedan tomar las medidas que consideren oportunas.
El artículo 33 del RGPD especifica el procedimiento para la notificación de brechas de seguridad, aunque es aconsejable contar con asesoramiento externo por parte de expertos en derecho tecnológico y seguridad de la información como Vadillo Asesores.
La AEPD también ha publicado esta Guía con información sobre gestión y notificación de brechas de seguridad.
Sin embargo, éste es uno de los casos en los que puede decirse que es mucho mejor y más económico tomar medidas previas a favor de la seguridad de la información y evitar brechas de seguridad.
Existen sistemas de alertas, software especializado y otras soluciones para hacer más sólida y segura la organización.
Contar con un plan detallado y un protocolo de actuación elaborado con calma nos ayudará a gestionar mejor una brecha de seguridad.
Y por supuesto, disponer de asesoramiento experto, como decíamos antes.
Nadie está libre de sufrir un ciberataque o brecha de seguridad en la información de la organización.
Aunque los casos que saltan a los medios de comunicación suelen implicar a grandes empresas (por ejemplo, el caso de la cadena hotelera Marriot, cuya base de datos con información de más de 500 millones de personas tuvo un “acceso no autorizado”, o el famosísimo caso de Cambridge Analytica y Facebook), habitualmente son las pymes y organizaciones y empresas de tamaño pequeño o mediano las que más sufren estos ataques… Y a menudo las que están en situación más vulnerable. Sin saber qué deben hacer, sin sistema de prevención de delitos, sin seguro de ciber riesgos que cubra las consecuencias, sin un plan de gestión y seguridad de la información…
Si tu empresa se encuentra en esta situación, es necesario que te informes cuanto antes. Disponemos de soluciones a medida de todos los tamaños de empresa y organizaciones y adaptadas a sus riesgos y necesidades. Contacta con nosotros y te explicamos al detalle nuestra visión de seguridad de la información 360º.
Comparte este artículo: