Cuando se produzca una destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos estaremos ante una violación de la seguridad (según el RGPD) o ante una brecha de seguridad (según la AEPD), ambas terminologías son correctas.
Brecha de seguridad: destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos
Por tanto, cuando perdamos, destruyamos o modifiquemos alguna información o documento que contenga datos de carácter personal sin que haya un motivo que lo justifique estaremos ante una brecha de seguridad. Puede ir desde un robo, hasta un incendio, pasando por un virus, una “caída” del sistema… Pero hay que tener claro que la violación o brecha de seguridad que se refiere el RGPD, así como todas las medidas y seguimiento que se ha de llevar a cabo, solo será de aplicación cuando afecte a información que contenga datos de carácter personal.
Es necesario que la información afectada por la brecha de seguridad contenga datos de carácter personal.
Sabido esto, podemos analizar el procedimiento de actuación ante una brecha de seguridad regulado en el Reglamento General de Protección de Datos (Considerandos 85 a 87 y el artículo 33 y 34) así como en la Guía para la Gestión y Notificación de Brechas de Seguridad publicada por la Agencia Española de Protección de Datos. El responsable del tratamiento, una vez tenga conocimiento de la producción de una brecha de seguridad, tendrá que:
1. Comunicarlo sin dilación indebida a la autoridad de control competente, en nuestro caso, será la AEPD. Esta notificación se tendrá que llevar a cabo desde el mismo momento en el que tengamos conocimiento de tal incidente de seguridad y sin que supere el plazo de las 72 horas siguientes.
Esta notificación no se tendría que llevar a cabo cuando el responsable del tratamiento pueda demostrar, de acuerdo con el principio de responsabilidad proactiva, la improbabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas. En el caso de que no lo pueda demostrar, será la AEPD quien realice dicha valoración.
2. En el caso de que no se pueda hacer dicha comunicación en el plazo de las 72 horas posteriores al conocimiento del incidente, se tendrá que argumentar los motivos que dieron lugar a dicha dilación y, en su caso, facilitar información al respecto.
3. Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de los titulares de dichos datos de carácter personal, se les tendrá que comunicar que se ha producido dicho incidente. Dicha notificación se tendrá que hacer nuevamente sin dilación indebida, usando un lenguaje claro, sencillo, de forma concisa y transparente. Esto permitirá que los interesados tomen las precauciones necesarias. En cualquier caso, dicha notificación no será necesaria cuando:
a) El responsable del tratamiento haya adoptado medidas de protección técnicas y organizativas apropiadas, que hagan que los datos de carácter personal sean ininteligibles por cualquier persona no autorizada a acceder a ellos. Un ejemplo sería el cifrado.
b) Que el responsable, producida la brecha de seguridad, haya tomado medidas que garanticen que no habrá un altor riesgo para los derechos y libertades de los interesados.
c) Que suponga un esfuerzo desproporcionado la notificación.
En cualquier caso, pese a que el responsable considere innecesaria la comunicación de la brecha de seguridad a los interesados, la AEPD, analizada la misma, podrá exigirle dicha comunicación.
Cuando suframos una brecha de seguridad, se tendrá que notificar a la AEPD y en el caso de que pueda afectar a los derechos y libertades de las personas físicas, a los interesados que se puedan ver afectados.
La notificación a la que hemos hecho referencia, tendrá que contener, como mínimo:
1. La descripción de la naturaleza de la brecha de seguridad. Y si es posible, la categoría y el número aproximado de interesados afectados, con la categoría y número aproximado de registros afectados.
2. En el caso de que nuestra empresa tuviera designado un delegado de protección de datos se tendrá que informar de sus datos de contacto. En el caso de que no lo hubiera, se tendrá que indicar otro punto de contacto para que la AEPD, o si fuera necesario otros organismos (INCIBE y/o CNN-CERT)pueda obtener más información.
3. Describir las posibles consecuencias de la brecha de seguridad.
4. Describir las medidas adoptadas o propuestas para solucionar y mitigar la brecha de seguridad y sus efectos negativos. Es decir, las medidas que vamos a llevar a cabo para poner solución al incidente y a sus consecuencias.
Las brechas de seguridad pueden producirse por fuentes internas o por fuentes externas. Es decir, desde la propia empresa o desde fuera de la misma. Ahora pasaremos a analizar algunas de las soluciones que podemos dar para que no se produzcan dichos incidentes, o por lo menos, tratar de reducirlos lo máximo posible:
a) Establecer controles y mecanismos de seguridad dentro y alrededor de las instalaciones y mecanismos de control de acceso remoto a la información.
b) Políticas de mesas limpias: como el bloqueo de pantallas, sistemas de acceso a los equipos con usuario y contraseña complejos (contraseñas con un mínimo de ocho caracteres alfanuméricos, con mayúsculas y minúsculas y, un signo especial). El correcto archivado de la información, etc.
c) Controles físicos: como la detección de intrusos, videovigilancia, control y registro de accesos, etc.
d) Procedimientos y controles ante daños y desastres naturales.
e) Medidas de seguridad de la información y ciberseguridad a través de mecanismos de detección y notificación, antivirus, firewalls, analizadores de logs, seguridad en la red, etc.
f) Formación y concienciación del personal de la empresa.
g) Etc.
