Browsing Tag

brecha de seguridad

Brecha de seguridad en los datos

En esta entrega queremos hablaros sobre las brechas de seguridad, qué son, clases, medidas, cómo actuar y las posibles consecuencias.

El Reglamento General de Protección de Datos Europeo (RGPD 2017/679, de 27 de abril) nos da una definición muy amplia sobre este concepto. La brecha de seguridad supone cualquier incidente, pérdida, robo, alteración o destrucción de información personal, comunicación o cesión a terceros sin consentimiento o autorización. En este sentido, podemos catalogar como brecha de seguridad, por ejemplo, los siguientes casos:

  • Pérdida o robo de ordenador, teléfono o cualquier documento o dispositivo que almacene o contenga datos de terceros
  • Envío de documentación personal por error a un tercero que no es destinatario
  • Acceso a nuestros sistemas o documentos por terceros no autorizados
  • Eliminación accidental de documentos con datos personales

¿Qué hago si he sufrido una brecha de seguridad?

En primer lugar, cualquier sospecha de haber sufrido una brecha será necesario analizar y registrar la misma. Dispone del registro en su área de clientes. Si usted es cliente de LegalDPO, contacte con juridico@legaldpo.es para que realicemos el análisis.

Recuerde que es fundamental atender al procedimiento del art. 33 RGPD, siendo necesario actuar en plazo de 72 horas desde que se tienen conocimiento de una brecha de seguridad. Por ello, es fundamental que notifique a LegalDPO la información necesaria en plazo de 24 horas y que podamos realizar el análisis. Puede utilizar el formulario para registro de brechas en su documentación del área de clientes.

La información que necesitamos y deberá remitir al departamento jurídico:

  • Breve descripción de los hechos
  • Naturaleza de la brecha: si un tercero no autorizado a accedido a información personal, si ha sido robado o perdido un dispositivo o documentación, si se ha alterado información original, se han bloqueado el acceso a los datos. La naturaleza de la brecha se clasificará en brecha de confidencialidad, integridad o disponibilidad.
  • Origen de la amenaza: si ha sido interna (personal de la empresa) o externa (tercero), así como la intencionalidad: error humano, error técnico, intencionada o accidental.
  • Medios por los que se ha materializado la brecha: hacking, datos enviados por error, robo, eliminación incorrecta, publicación no intencionada, revelación verbal, pérdida de dispositivo.
  • Sujetos afectados: clientes, alumnos, empleados, usuarios de la web, proveedores y número aproximado de personas que se han visto afectadas por la brecha.
  • Categoría de datos afectados: la clase de datos que han sido objeto de la brecha, tales como datos de contacto, datos bancarios, datos sensibles (salud, biométricos, etc.), información patrimonial, datos de menores, personas vulnerables, etc.
  • Medidas de seguridad previas a la brecha: descripción de las medidas existentes hasta la materialización o sospecha de la brecha de seguridad, tales como contraseñas en dispositivos, registro de entrada/salida de soportes, cifrado de datos, copias de seguridad, formación de empleados, entre otras.

Actuación ante las brechas de seguridad

Una vez analizada la brecha de seguridad y las consecuencias, nos encontraremos varios escenarios:

  • Necesidad de denunciar ante las autoridades
  • Contactar con los afectados
  • Comunicar la brecha a la Agencia Española de Protección de Datos (AEPD), de acuerdo al artículo 33 del RGPD.
  • Implementación de medidas correctoras o mejora de las existentes

Estas acciones dependerán del análisis previo. En la mayoría de ocasiones son acumulativas, aunque la implementación de medidas correctoras o mejora de éstas siempre estará presente.

Estas acciones se llevarán a cabo en plazo máximo de 48 horas desde que notifique a LegalDPO la información necesaria.

Infracciones y consecuencias

Un error muy común es la falsa creencia o el miedo de comunicar una brecha a la AEPD. No debemos olvidar que los errores humanos, técnicos así como los hackeos estarán siempre presentes. La Agencia no va a sancionar siempre que hayamos hecho todo lo posible para prevenir y evitar una brecha de seguridad, pero es imposible asegurar que no se produzcan. Es importante que cuando sea necesario, se notifique a la Autoridad. Siempre será más beneficioso comunicar que no hacerlo por miedo a las consecuencias.

La vulneración del procedimiento descrito en el art. 33 RGPD es constitutivo de una infracción grave contemplada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en concreto del art. 73.r), cuya sanción podrá ascender hasta los 10 millones de euros o el 2% del volumen total del negocio. En cualquier caso, atendiendo a las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD, para empresas cuya facturación sea inferior a 2 millones de euros, la cuantía de la sanción podrá ser de 4.000 a 40.000 euros y para facturaciones superior a 2 millones de euros podrán ascender hasta los 200.000 euros.

Medidas tras una brecha de seguridad

Una vez que damos por concluida la brecha de seguridad, salvo que lo hayamos hecho previamente, tendremos que revisar las medidas de seguridad que tenemos implementadas.

Estas medidas podrán ser muy diversas: desde la formación y sensibilización al personal en materia de protección de datos, actualización de protocolos de actuación, cambio en los períodos de realización de copias de seguridad, cifrado de datos, entre otras.

Junto al departamento jurídico de LegalDPO se realizará un nuevo análisis de riesgos y se decidirán las mejoras o actualizaciones que deben implementarse, siempre atendiendo a lo dispuesto en el art. 25 del RGPD, teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.

Artículo 25.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

No olvide contactar con LegalDPO si tiene cualquier duda o quiere ampliar esta información a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es. Puede consultar nuestros servicios en las páginas web, aplicables en toda España.

Por último, puede ampliar toda esta información desde el apartado «brechas de seguridad» en el sitio web de la AEPD.

https://www.aepd.es/preguntas-frecuentes/2-rgpd/11-brechas-de-datos-personales