Brechas en la ciberseguridad de la empresa y responsabilidad ante ellas: ¿Cómo debo actuar?

Esta semana se cumplen dos años de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), tras el tiempo de acoplamiento que se concedió a los estados miembros. Desde entonces, han sido numerosos los cambios a los que las empresas han tenido que enfrentarse, no sólo tecnológicos sino también jurídicos.  Por su parte, la crisis sanitaria ha puesto de relieve la importancia del establecimiento de protocolos en materia de tratamiento de datos de carácter personal, especialmente en los casos de detección de posibles brechas de seguridad en las empresas.

Trasladando la cuestión al escenario español y centrándonos en el ámbito de las incidencias por brechas de seguridad, sólo un 21% de las empresas cumple de forma adecuada con las exigencias de la normativa europea en materia de ciberseguridad (según informe de la consultora Capgemini). Ante este escenario muchas empresas se preguntan cuáles son los pasos para seguir una vez se tiene conocimiento de las violaciones de las barreras de seguridad.

 

Obligaciones ante una brecha de seguridad en la empresa

En primer lugar, es necesario acudir a la definición de brecha de seguridad. Según el RGPD se trata de “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración incidental o ilícita de datos personales transmitidos conservados o tratados de otra forma, o la comunicación o acceso no autorizados a datos”. Vinculado a esto, la Agencia Española de Protección de Datos (AEPD) en su “Guía para la gestión y notificación de brechas de seguridad” determina la necesidad de llevar a término un Plan de Acción, basado en los siguientes puntos:

  • Contención: se deberá tomar decisiones con la celeridad suficiente para evitar la expansión del incidente.
  • Erradicación: será necesario acudir a la raíz del problema y eliminarlo, si hablamos por ejemplo de un malware se deberá actuar con los medios necesarios contra él.
  • Recuperación: Erradicado el problema se debe comprobar el funcionamiento normal. También será requisito implementar las medidas de cara a futuros ataques.
  • Notificación: Según el artículo 33 del RGPD, una vez detectada dicha brecha de seguridad, las empresas tienen la obligación de notificar a la autoridad de control competente en el menor tiempo posible y con un máximo de 72 horas (art.33 y 34 de RGPD). Durante ese lapso de tiempo es esencial la labor que ejerce el DPO, en el que debe valorar la entidad del suceso, gestionarlo junto al responsable, así como decidir sobre su comunicación a la AEPD y los afectados.

 

 La fase de la notificación es la que más problemas suele conllevar, puesto que para determinar si es necesario llevarla a cabo, primero se debe valorar la aparición de un auténtico riesgo. La AEPD establece unas formulas en las que se tiene en cuenta tanto el número de datos afectados, como la sensibilidad de estos. Si la inseguridad es demasiado gravosa para los afectados, también tendrá que ser puesta en conocimiento de los mismos, explicándoles de manera adecuada y sencilla para que puedan actuar cuanto antes. Una vez erradicado el riesgo es conveniente la elaboración de un Informe de cierre en el que se incluyan las medidas efectivas tomadas a lo largo del proceso, de cara a futuras auditorias por posibles responsabilidades. No todas las brechas de seguridad deben comunicarse a la AEPD ni a los titulares de los derechos, no lo serán todas aquellas que supongan una baja entidad de riesgo.

Responsabilidades a las que se puede enfrentar la empresa

Una mala gestión del procedimiento de comunicación puede implicar multas muy cuantiosas por un valor del 4% de la facturación de la compañía, hasta un máximo de 20 millones de euros. Como indica la AEPD, el criterio para valorar la responsabilidad de la empresa dependerá de la diligencia con la que actúen tanto el delegado como el responsable de los datos. Uno de los principales problemas por los que las empresas generan responsabilidad en este ámbito, es la falta de asesoramiento por parte de abogados especialistas. En numerosas ocasiones las compañías firman contratos con proveedores de servicios de tratamiento, sin analizar de forma adecuada las cláusulas de exoneración de responsabilidad o la existencia de seguros que salvaguarden los futuros problemas derivados de la aparición de incidentes de seguridad.

En LaBE Abogadossomos conscientes de los altos riesgos a los que las empresas pueden verse sometidas en el ámbito de la ciberseguridad, por ello disponemos de las herramientas y protocolos necesarios para el asesoramiento a nuestros clientes sobre tratamiento y protección de datos.

También te puede interesar:

Centro de preferencias de privacidad

Necessary

Advertising

Analytics

Other