PROTOCOLO DE GESTIÓN Y NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD (ARTÍCULOS 33 Y 34 RGPD)
Gestiona AbogadosPara continuar con los protocolos que acrediten el cumplimiento del principio de responsabilidad activa, y poder demostrarlo, hoy veremos el protocolo de gestión y notificación de las brechas o violaciones de seguridad.
El RGPD establece que una brecha de seguridad es “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.
Asimismo el Reglamento General de Protección de Datos enuncia en los artículos 33 y 34 que las brechas de seguridad deben ser notificadas a la autoridad de control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
Además, deberemos notificarla en un plazo máximo de 72 horas a contar desde que tengamos conocimiento de la brecha.
Establezcamos por tanto el protocolo de hoy en relación a los siguientes puntos:
- Comunicación interna en la organización: es fundamental establecer un procedimiento para dar instrucciones al personal sobre cómo deberán proceder en el caso de que detecten una violación de seguridad, y a quién deberán notificarlo internamente (Responsable de Seguridad/ Delegado de Protección de Datos). Es recomendable contar con un modelo de notificación interna a disposición de los empleados, para que resulte más sencilla (y trazable) la notificación interna que realicen.
- Comunicación a la Agencia Española de Protección de Datos: se propone detallar en el protocolo el procedimiento de notificación e incluir el enlace del sitio web de la AEPD a través de cual se iniciará el procedimiento.
- Comunicación a los interesados: en el caso de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, se les deberá informar a los interesados. A tal efecto, se recomienda contar con un modelo de notificación al interesado (cuando sea posible enviar dicha notificación uno a uno) y cuando no sea posible, el procedimiento de comunicación se realizará a través de entornos corporativos.
- Trazabilidad y seguimiento: Asimismo, se recomienda incluir un apartado en el que, en su caso, se registre la violación de seguridad detectada y se gestione el seguimiento de la misma hasta su resolución.
Veamos cada uno de los pasos a seguir para la gestión de una brecha de seguridad
Procedimiento:
Apuntar en el registro interno la incidencia detectada
- El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.
- Una vez resuelta la brecha se deberá también registrar la solución al problema.
- Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.
- Averiguar si supone un riesgo para los derechos y libertades de los afectados
-
¡Este paso es clave!, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.
¿Pero cómo saber si supone un riesgo? Pues pensemos en cada uno de los siguientes puntos:
Que pueda provocar daños y perjuicios físicos, materiales o inmateriales
- problemas de discriminación
- usurpación de identidad o fraude
- pérdidas financieras
- daño para la reputación
- pérdida de confidencialidad de datos sujetos al secreto profesional
- reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo
Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen
- el origen étnico o racial
- las opiniones políticas
- la religión o creencias filosóficas
- la militancia en sindicatos
- el tratamiento de datos genéticos
- datos relativos a la salud o datos sobre la vida sexual
- relativos a las condenas e infracciones penales o medidas de seguridad conexas.
En los casos en los que se evalúen aspectos personales
- en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
- situación económica
- datos de salud
- preferencias o intereses personales
- fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales
En los casos en los que se traten datos personales de personas vulnerables, en particular niños
Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.
Notificación de la brecha de seguridad
Gestiona AbogadosSí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.
La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.
¿Quién debe notificar las brechas de seguridad?
El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.
¿Y si mi empresa tiene DPO? En este caso será el Delegado de Protección de Datos el encargado de la notificación.
Plazo
- ¿Existe un plazo determinado?
- Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
- El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.
Contenido mínimo de la notificación
- La naturalezade la violación, categorías de datos y de interesados afectados
- medidas impuestas por el responsable para resolver esa quiebra
- si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados
Registro Electrónico
- La AEPD dispone de un registro mediante el cual electrónicamente, y siguiendo unos sencillos pasos se puede notificar ante la misma la brecha de seguridad.
- En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.
Notificar a las personas afectadas la brecha de seguridad
Con el nuevo principio de accountabilty (o rendición de cuentas), la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida.
No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:
- El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.
- Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación publica.
Plan de actuación
Gestiona AbogadosUna vez que hemos comprobado que existe una brecha de seguridad y que ya la hayamos comunicado a quien corresponda. Debemos realizar una serie de actuaciones que nos van a servir para determinar si es necesario:
- contratación de un forense digital experto,
- adoptar medidas procesales,
- realizar un informe final sobre la brecha de seguridad y
- realizar un informe sobre cómo se va a producir el cierre de la brecha de seguridad.
Análisis de forense digital experto
En este documento se van a plasmar los hechos. Y estos informes van a tener importancia administrativa y judicial (si se da el caso).
Adoptar medidas procesales
Estas medidas nos sirvan para determinar el autor o persona responsable y para intentar conseguir la reparación del daño causado. Ahora bien, antes de iniciar acciones judiciales debemos valorar si con este procedimiento, el daño ocasionado aumenta (se considera que el perjuicio puede aumentar cuando, por ejemplo, se vea afectada la imagen de la empresa).
Informe final sobre la brecha de seguridad
Este documento debe contener toda la documentación relativa a la brecha de seguridad. Además, debe recoger un impacto final con el fin de que se facilite el estudio del incidente y que pueda servir para prevenir casos similares en un futuro.
Cierre de la brecha de seguridad
Tras la realización de todas las actuaciones anteriores se realiza el cierre de la brecha de seguridad.
A modo de resumen, es importante y necesario que las empresas tengan unas medidas para poder actuar en estos casos, activar sus protocolos y una vez que la situación esté controlada, se debe notificar a la autoridad de control (AEPD), pero nunca superando el plazo máximo establecido de 72 horas.
Respuesta a las brechas de seguridad
Responsabilidad proactivaLa mayoría de las acciones de respuesta a brechas de seguridad correrán a cargo de un equipo de respuesta a incidentes dentro del servicio de informática o del equipo de seguridad informática correspondiente, que podrá formar parte de la empresa o estar completamente externalizado.
Durante el proceso de respuesta se distinguen una serie de fases:
- Contener el incidente,
- Erradicar la situación generada por el incidente y
- Acciones de recuperación oportunas.
Estas fases no están perfectamente diferenciadas y es habitual que haya cierto solapamiento entre las mismas.
Contener el incidente
- La contención del incidente proporciona tiempo para desarrollar una estrategia de respuesta a medida.
- Una parte esencial de la contención es la toma de decisiones rápidas como puede ser cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.
- Es una buena práctica que las empresas desarrollen políticas de actuación para la gestión de los incidentes en general y de los incidentes vinculados con datos personales en particular.
Erradicar la situación
- Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar cuentas de usuario vulneradas.
- Tras la aplicación de las medidas se debe verificar el correcto funcionamiento de éstas, confirmando su idoneidad para la erradicación del incidente. De ser así, se dará por terminada esta fase.
- Se deberán de tomar medidas que eviten o eliminen la posibilidad de que un incidente vuelva a producirse. En este sentido será necesario alimentar el plan de riesgos de la entidad afectada revisando si el mapa de riesgos contemplaba la amenaza que ha dio lugar a la brecha de seguridad y, en caso afirmativo, reevaluar las medidas de salvaguarda asociadas a fin de garantizar su efectividad.
Acciones de recuperación
Esta fase tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa.
Deben aplicarse acciones y controles como:
- Selección estrategia.Teniendo en cuenta el riesgo que quiera asumir la entidad así como la eficiencia y costes de las distintas opciones planteadas, se seleccionará la estrategia que deberá seguirse en el futuro.
- Implementación de medidas preventivas
- Revisar el análisis de riesgos y aplicar controles adicionales y periódicos para evitar futuros incidentes similares
¿Que ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?
- Deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.
- Para que no se le “olvide” al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.
¿Puedo usar la misma notificación para la AEPD y para el interesado?
- No.
- La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
- A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.
¿Tengo que notificar siempre la brecha de seguridad?
Sí y no.
No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas. Los casos que recoge la guía donde no habría obligación de comunicar estas brechas son:
- Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad
- Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados
- Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.
Esperamos que con este breves palabras seamos capaces de implantar un protocolo para la gestión de una brecha de seguridad y como gestionar su notificación.
Puedes completar esta información con la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD.
No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto contáctenos en el teléfono 962915025, y uno de nuestros abogados estará encantado de atenderte.