Seleccionar página

BRECHAS DE SEGURIDAD

por | Sep 16, 2019 | blog, Brechas de seguridad RGPD, EIPD, Medidas técnicas y organizativas, RAT o Registro de Actividades de Tratamiento | 0 Comentarios

gestion de brechas de seguridad

¿Qué son las brechas de seguridad?

Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como 

“aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos los incidentes de seguridad son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.

Fases para la gestión de brechas de seguridad

A continuación vamos a resumir las fases que el responsable de tratamiento debe tener en cuenta para la correcta gestión de las brechas de seguridad.

1º Fase de preparación para responder ante las brechas de seguridad.

Se realizará un análisis de riesgo o evaluación de impacto, en caso de ser necesario, para aplicar las medidas técnicas y organizativas adecuadas, para poder afrontar un incidente de seguridad y tener una efectiva capacidad de respuesta.

Se definirán los planes de respuesta a los incidentes de seguridad.

2º Fase de detección e identificación de las brechas de seguridad.

El responsable o encargado del tratamiento detectarán el incumplimiento o vulneración de las medidas de seguridad a que da lugar la brecha de seguridad.

La identificación del incidente de seguridad se hará sobre el análisis de las siguientes fuentes de información:

  • Internas: medios internos de la empresa para mantener la seguridad.
  • Externas: comunicación del incidente por terceras personas.

3º Fase de Registro de las brechas de seguridad.

La entidad debe mantener un registro de incidencias debidamente documentado, que contenga:

  • Tipo de incidente.
  • Descripción del incidente.
  • Nivel de Gravedad.
  • Medidas adoptadas para su resolución.

4º Fase de Clasificación y Valoración

Determinar la clasificación de la brecha de seguridad que podrá ser:

  • Confidencialidad.
  • Integridad.
  • Disponibilidad.

Valorar la peligrosidad del incidente y la magnitud del impacto en los individuos.

Recurriremos para ello al análisis de riesgos o evaluación de impacto realizado previamente.

Para clasificar la peligrosidad de un incidente seguiremos las directrices proporcionadas por la AEPD:

  • La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados: (Crítico, Muy Alto, Alto, Medio, Bajo).
  • Naturaleza, sensibilidad y categorías de los datos personales afectados: (Datos de escaso riesgo, Datos de comportamiento, Datos financieros, Datos sensibles).
  • Datos legibles/ilegibles: Datos protegidos mediante algún sistema de seudonimización.
  • Volumen de datos personales: expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.).
  • Facilidad de identificación de individuos: facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la brecha.
  • Severidad de las consecuencias para los individuos: (Baja, Media, Alta, Muy Alta).
  • Características especiales de los individuos: Si afectan a individuos con características especiales o con necesidades especiales.
  • Número de individuos afectados: Dentro de una escala determinada, por ejemplo, más de 100 individuos.
  • Características especiales del responsable del tratamiento: En base a la actividad de la entidad.
  • El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial.
  • El número y tipología de los sistemas afectados.
  • El impacto que la brecha puede tener en la organización: (Bajo, Medio, Alto).

5º Fase de notificación

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.

¿Quién debe notificar las brechas de seguridad?

El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.

¿Y si mi empresa tiene DPO? En este caso será el Delegado de Protección de Datos el encargado de la notificación.

Plazo

  • ¿Existe un plazo determinado?
  • Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
  • El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.

Contenido mínimo de la notificación

  • La naturaleza de la violación, categorías de datos y de interesados afectados.
  • medidas impuestas por el responsable para resolver esa quiebra.
  • si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.

Registro Electrónico

  • La AEPD dispone de un registro,  mediante el cual electrónicamente, y siguiendo unos sencillos pasos, se puede notificar ante la misma la brecha de seguridad.
  • En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.

Notificar a las personas afectadas la brecha de seguridad

Con el nuevo principio de accountabilty, la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida, la brecha de seguridad.

No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:

  • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación publica.

¿Puedo usar la misma notificación para la AEPD y para el interesado?

  • No.
  • La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
  • A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.

¿Tengo que notificar siempre la brecha de seguridad?

Sí y no.

No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas.

Los casos donde no habría obligación de comunicar estas brechas son:

  • Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad
  • Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados
  • Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.
logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *