Cómo debe actuar una organización si sufre una brecha de seguridad
9, marzo 2020
ciberseguridad, derecho tecnológico, prevención delitos en la empresa, protección de datos

¿Crees que si se produce una brecha de seguridad en tu empresa la Agencia Española de Protección de Datos te impondrá sí o sí una cuantiosa multa? Nos alegra decirte que… ¡te equivocas! Todo dependerá de si tu empresa cuenta con un plan de acción previo que te permita detectar rápidamente este tipo de incidencias, así como reaccionar diligentemente a la hora de notificar, comunicar y minimizar el impacto de esa fuga de datos personales.
Recientemente la Agencia Española de Protección de Datos (AEPD) ha absuelto de toda responsabilidad a una gran organización del ámbito farmacéutico que había sufrido una brecha de seguridad sobre la base de estos dos argumentos:
- Había actuado adecuadamente “autodenunciándose” y comunicando en plazo dicha brecha a la propia AEPD.
- Disponía de procedimientos debidamente implantados para minimizar las condiciones de la brecha.
Por tanto, ¿cómo debemos actuar para lograr una sentencia absolutoria en caso de sufrir una brecha de seguridad en nuestra empresa?
En primer lugar, toda organización ha de saber reconocer cuando está ante una brecha de seguridad en materia de protección de datos personales. Para ello, es esencial disponer de un buen procedimiento sobre detección, gestión y comunicación de brechas de seguridad.
Una brecha de seguridad es un incidente que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos: pérdida de un ordenador portátil; acceso no autorizado o ilícito a las bases de datos de una organización, incluso por parte de su propio personal; borrado accidental o ilícito de registros, por ejemplo, por un virus informático, etc.
Si se produce un incidente de ese tipo, hay que valorar si por sus características, tipo de datos o tipo de consecuencias para los afectados, puede dañar los derechos o libertades de éstos porque supongan, por ejemplo, una pérdida de control sobre sus datos o una restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Por tanto, debe quedar claro que la brecha de seguridad es un incidente en materia de seguridad de la información o ciberseguridad que afecta a datos de carácter personal. Es decir, todas las brechas de seguridad de datos personales son incidentes de seguridad, pero no todos los incidentes de seguridad son necesariamente brechas de datos personales.
Una vez detectada la brecha, hay que analizarla muy bien para determinar la peligrosidad potencial de la misma y el impacto potencial en los individuos. Para ello, es esencial la colaboración de distintas partes: la entidad responsable del tratamiento (si hay una entidad encargada de ese tratamiento, ésta también deberá colaborar), así como el Departamento de IT o los servicios informáticos externos que pueda tener subcontratados, y otros potenciales interesados como el área de atención al cliente o de comunicación de la organización y, por supuesto, el Delegado de Protección de Datos, si la empresa tiene nombrada dicha figura.
Después de haber realizado dicho análisis, hay que:
- Poner en marcha el proceso de respuesta ante brechas de seguridad, especialmente de las primeras medidas de contención, tratando de limitar en lo posible los daños causados por el incidente.
- Notificar dicha brecha a la Agencia Española de Protección de Datos cuando proceda (y en este caso, el plazo son 72 horas, aunque prorrogables previa información de ello).
- Activar las medidas a adoptar para contener, mitigar o eliminar los daños que pudieran sufrir los afectados, esto es, un Plan de Contingencia.
De forma esquemática, éste sería el procedimiento de respuesta:

Por último, también es importante la comunicación interna dentro de la organización durante todo el ciclo de vida del proceso de respuesta, y debe hacerse de una manera continua de modo que la dirección, el responsable del tratamiento, el Delegado de Protección de Datos correspondiente, la persona responsable de seguridad, el Departamento de IT, etc. tengan una visibilidad clara tanto del incidente como de las acciones tomadas para afrontarlo, informando de ello a clientes, proveedores, usuarios…
Evidentemente todo esto requiere de un procedimiento muy bien estructurado y engrasado. En Vadillo Asesores, podemos ayudaros en la redacción de dichos procedimientos y su implementación en la organización por lo que os animamos a contactar con nuestra área de derecho tecnológico.
IMPORTANTE: AYUDAS 2020 A LA CIBERSEGURIDAD PARA EMPRESAS INDUSTRIALES DEL PAÍS VASCO
Si eres una empresa industrial o una empresa de servicios técnicos, de diseño y logística, ligados al producto-proceso industrial, desde el 21 de abril de 2020, puedes acceder al Programa de Ayudas a la Ciberseguridad Industrial 2020. Son subvenciones a fondo perdido del Gobierno Vasco y Grupo SPRI (hasta un máximo de 18.000 euros por empresa/año) para impulsar la implantación de sistemas de protección frente a ciberataques en el entorno industrial vasco.
Ponte en contacto con nosotros y te informaremos sobre las posibilidades de acogerte al programa Ciberseguridad Industrial 2020.
Comparte este artículo: