¿Sabes qué hacer ante una brecha de seguridad?

Una Brecha de Seguridad, es cualquier incidente en el que se vea comprometida la confidencialidad, integridad y disponibilidad de los datos personales (nombres, DNI, direcciones, email, teléfono, datos bancarios, etc.) de aquellos colectivos con los que nos relacionamos (clientes, trabajadores, proveedores, solicitantes de empleo, etc.). 

Puede ser ocasionado de forma voluntaria o involuntaria, por personas externas o que formen parte de nuestro equipo.

Algunos ejemplos de brechas de seguridad:

Perdida o robo de documentos en papel, información digital o de dispositivos informáticos

Acceso a documentos en papel o información digital, por parte de personas no autorizadas

Secuestro de información en la que los ciberdelincuentes piden un rescate 

Cada día son más las noticias de empresas que han visto sus medidas de seguridad comprometidas y es un hecho que el tener la empresa protegida es una necesidad para brindar confianza a los clientes y trabajadores, pero también es una obligación legal.

Se ha publicado el Informe de notificaciones de brechas de seguridad durante marzo de 2023, en donde se destaca lo siguiente:

  • 208 notificaciones recibidas
  • En los últimos 12 meses, se acumulan 1851 notificaciones
  • Tipología brechas:

              -Confidencialidad: 169

              -Integridad: 13

              -Disponibilidad: 81

  • Medios a través de los cuales se materializó la brecha:

¿Qué hago si sufro una brecha de seguridad?

Partiendo que nadie está a exento de sufrir una brecha de seguridad, debemos tener claro cuáles son los pasos a seguir ante un incidente de este tipo.

Antes que nada hay que recordar que, según el artículo 34 del RGPD, la comunicación a las personas afectadas de una brecha de seguridad tendrá el carácter de obligatoria, cuando concurran los siguientes requisitos:

¿Cuándo notificar a los interesados la brecha de seguridad?

Cuando la exposición de los datos a consecuencia de la brecha genere una probabilidad de alto riesgo para los derechos y libertades de las personas afectadas, así como los daños que se hayan producido, respecto de si éstos son reversibles o no.

¿Quién debe notificar la brecha de seguridad?

Con carácter general el Responsable del Tratamiento de los datos afectados.

En el caso que la brecha de seguridad la haya sufrido al Encargado del Tratamiento, este sólo podrá comunicarlo a los afectados si así se ha dispuesto en el contrato firmado con el responsable del tratamiento. No obstante, previamente deberá notificárselo al responsable en cualquier caso.

¿A quiénes hay que notificar la brecha de seguridad?

Únicamente se notificará a aquellas personas afectadas por la brecha de seguridad cuando esta suponga un alto riesgo para sus derechos y libertades fundamentales. 

¿Cuánto tiempo tengo para notificar a los afectados?

EL RGPD y la LOPD-GDD señalan que sin dilación indebida, es decir, lo antes posible una vez que se haya identificado qué datos han sido expuestos y qué personas han sido las afectadas.

Si no se comunica lo antes posible, tendrá que justificarse ante los afectados, y en su caso, ante la autoridad de control nacional (AEPD) o autonómica. Si la comunicación proviene de una orden dictada por la AEPD, se tendrá que demostrar que se ha cumplido con dicha obligación en el plazo de 30 días desde la notificación de la orden al responsable. 

¿Cómo puedo notificar la brecha a los afectados?

Se recomienda elegir un método que sea rápido y confiable, por ejemplo, por correo electrónico, SMS o inclusive mensajería instantánea, si cuenta con el consentimiento de los interesados para utilizarlo.

¿Qué debo comunicar?

La explicación de las circunstancias en las cuales se haya dado la brecha de seguridad, deberá ser explicada con lenguaje claro y sencillo, según lo establecido en el artículo 34.2 del RGPD.

Aunado a ello, el contenido de la comunicación deberá ser el siguiente:

  • Los hechos ocurridos, señalando cuál ha sido la causa de la brecha de seguridad: ciberataque, envío de datos por error, ciber incidente, pérdida de la información, etc.
  • Medio por el cual se ha producido la brecha de seguridad: acceso ilegítimo, revelación interna o por tercero, fuga de datos, etc.
  • Identificar las categorías de datos comprometidos en la brecha de seguridad: datos básicos, datos de contacto, imágenes, datos económicos, datos bancarios, salud, genéticos, vida sexual, religión, creencias, entre otros.
  • Consecuencias de la brecha de seguridad: exponer de manera clara cuáles podrían ser las consecuencias derivadas de la exposición de los datos, tales como ser objeto de algún fraude, extorsión, suplantación de identidad, daño moral, etc.
  • Medidas adoptadas para solucionar el problema y minimizar los efectos de la brecha de seguridad: describir brevemente las medidas adoptadas para solucionar la situación, así como consejos de cómo denunciar si se producen efectos como suplantación de identidad, fraude, etc.
  • Informar de la existencia, en su caso, del delegado de protección de datos, así como de sus datos de contacto.

¿Qué pasa si no comunico la brecha de seguridad a los afectados?

El artículo 74 ñ) de la LOPD-GDD considera el incumplimiento de esta obligación como una infracción leve.

Sin embargo, si es la AEPD quién obliga al responsable a realizar la comunicación de la brecha de seguridad a los afectados, y el responsable no cumple con dicha orden de la Agencia, será considerada una infracción grave, según el artículo 73 s) de la LOPD-GDD.

Cabe recordar que las sanciones por infracción oscilan entre 40.000 euros hasta más de 300.000 euros, y las sanciones que superen el millón de euros por parte de una persona jurídica, serán publicadas en el Boletín Oficial del Estado, según lo dispuesto en el artículo 76.4 de la LOPD-GDD.

Si debes informar a los afectados, también debes hacerlo a la AEPD

Tras ser analizado el caso por parte del Delegado de Protección de Datos (si está obligado a designar uno) o en su defecto por el Consultor de Protección de Datos, se determinará si es necesario dar conocimiento de estos a la Agencia Española de Protección de Datos (AEPD) como órgano de control nacional o al órgano de control autonómico que corresponda, en un plazo no superior a 72 horas.

Se incluira toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. (art. 33.1 RGPD).

Para casos de entidades públicas con competencias autonómicas se deberá comunicar la brecha de seguridad a las autoridades Autonómicas competentes en materia de protección de datos personales.

Ser preventivos ante brechas de seguridad

La mejor forma de prevenir una brecha de seguridad es prevenirla y una buena forma es que expertos te hagan una auditoría sobre tu situación en materia de ciberseguridad y seguridad informática.

Si eres cliente de Business Adapter®, te enviamos a un experto para que esta auditoría sea GRATUITA.

Contáctanos en el email: info@businessadapter.es, llama al 96 131 88 04, o deja tu mensaje en este formulario:

 

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!