Tratamiento de datos personales y brechas de seguridad.
El tratamiento de datos personales con diversas finalidades y diferentes volúmenes de información es una realidad dentro de la actividad cotidiana de las empresas. La rápida evolución tecnológica y el nivel de globalización han planteado nuevos retos para la protección de datos personales, ante ellos, el desarrollo de mecanismos de prevención de brechas de seguridad.
En este contexto, a nivel Europeo y de España cuando se habla de gestión de brechas de seguridad se hace referencia a diversas obligaciones que vienen expresadas por varios marcos normativos y sectoriales y que implican distintas obligaciones en la gestión de tales obligaciones.
Desde Aquino Pérez & Asociados como profesionales expertos en gestión de Brechas de Seguridad hoy te daremos todas las claves para la detección de brechas de seguridad en materia de Protección de datos personales.
¿Qué es una brecha de seguridad?
Lo primero que vamos a explicar es ¿qué es una brecha de seguridad? El Esquema Nacional de Seguridad (ENS) define la brecha de seguridad como un “incidente de seguridad” o como aquel “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”.
En la misma línea, la Directiva NIS define “incidente” como “todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información”.
Por su parte, el Reglamento General de Protección de Datos define las violaciones de seguridad de los datos personales como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Por tanto, existirá una brecha de seguridad cuando se produzca cualquier acceso, intromisión, alteración o revelación de los datos personales que se traten bajo nuestra responsabilidad de manera incidental o no deseada.
Detección e Identificación
Para la detección e identificación de una brecha de seguridad es imprescindible concretar las circunstancias que se considerarán incidentes de seguridad por la organización.
Determinadas las circunstancias que se consideraran incidentes de seguridad, el siguiente paso será diseñar e implementar mecanismos o sistemas que alerten al responsable (bien por su cuenta, bien por cuenta de un encargado) cuando éstas ocurran para que puedan ser gestionadas en el menor plazo posible.
Además de alertar sobre el incidente de seguridad, los mecanismos elegidos deberán permitir el análisis de la información afectada para que se pueda hacer una correcta identificación y clasificación del tipo de brecha de seguridad ocasionada.
Obligaciones relativas a la gestión de Brechas de Seguridad
De acuerdo con el RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales deberá efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes.
Cuando no fuese posible cumplir con la obligación de facilitar toda la información exigida, esta se facilitará de manera gradual, a la mayor brevedad y sin dilación. La única excepción a esta obligación de notificación tendría lugar cuando, conforme al principio de responsabilidad proactiva, el responsable pueda demostrar que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas.
Cuando la brecha de seguridad entrañe un alto riesgo para los derechos y libertades de los titulares de los datos, además de la comunicación a la autoridad de control, el responsable del tratamiento deberá, adicionalmente, comunicar a los afectados la brecha de seguridad sin dilación indebida y con lenguaje claro y sencillo, de forma concisa y transparente.
Figuras implicadas en la gestión de la brecha de seguridad
Detectado y clasificado el incidente como una brecha de seguridad en la organización,para una eficaz gestión de la misma será necesaria la colaboración de las siguientes figuras:
Responsable del tratamiento: le corresponde aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. El responsable del tratamiento podrá contar con el asesoramiento de expertos en materia de seguridad o con los servicios informáticos propios o que pueda tener subcontratados.
Delegado de Protección de Datos (DPD): en los casos en los que se haya designado un Delegado de Protección de Datos (porque lo exija el RGPD o voluntariamente), éste ocupará un papel muy relevante liderando el plan de actuación en todos sus aspectos.
Autoridad de control competente: se encargará de verificar que se cumple con el RGPD, y en este caso concreto en lo relativo a la gestión de la brecha de seguridad.
Todos estas figuras tienen la obligación deben trabajar en coordinación para que una vez ha sido detectada la brecha de seguridad la misma sea gestionada en el menor plazo posible y tenga la menor incidencia en la privacidad de los afectados.
Proceso de Comunicación al Afectado
Finalmente, y como hemos dicho anteriormente, cuando la brecha de seguridad pueda entrañar un alto riesgo para los derechos y libertades de los titulares de los datos, el responsable del tratamiento deberá comunicar a los afectados, sin dilación indebida, la brecha de seguridad.
Pero antes de realizar este paso, el responsable o encargado del tratamiento deberá tener en consideración para decidir si se ha de realizar la comunicación a las personas afectadas los siguientes factores:
- Cuáles son las obligaciones legales y contractuales.
- Riesgos que comporta la pérdida de los datos: daños físicos, daños reputacionales, etc.
- Las posibles consecuencias de la brecha de la seguridad de los datos personales.
Si valorados estos factores se llega a la conclusión de la necesidad de la notificación, esta se hará preferentemente de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que el responsable considere adecuado.
En conclusión, la gestión de una brecha de seguridad no es una cuestión para tomarse a la ligera. Su incorrecta gestión puede implicar daños y perjuicios para los afectados.
Una incorrecta gestión de la brecha de seguridad puede ocasionar a tu negocio un grave daño reputacional, así como considerables sanciones económicas para tu negocio.
Si desea tener más información al respecto o asesoramiento especializado en Protección de datos personales ponte en contacto con nosotros y estaremos encantados de ayudarte.
Deja tu comentario