Seleccionar página

Si tu empresa ha sufrido una brecha de seguridad, esto es lo que debes saber. ¿Cómo enfrentarse a una brecha de seguridad?

Eva María Simón

ABOGADA

El 2020 va a ser recordado como un año de cambios. En ocasiones, las nuevas tecnologías se han aplicado, me atrevería a decir, de manera “forzosa”, como es el caso del teletrabajo. Acontecimientos como estos, han propiciado el uso de dispositivos móviles y ordenadores individuales conectados a redes distintas, lo que pone de manifiesto el peligro al que se enfrentan las empresas, sus clientes, empleados y otras partes interesadas. Sin ir más lejos, a través del correo electrónico, canal de información interna por excelencia, se comparten grandes cantidades de datos relevantes sobre clientes, así como datos de carácter personal de los propios trabajadores. Por ello, cualquier información es susceptible de sufrir un ciberataque, en concreto, se van a tratar las brechas de seguridad.

¿Qué es una brecha de seguridad?

El término utilizado por el artículo 4 apartado (12) del Reglamento General de Protección de Datos (en adelante, RGPD), lo identifica como “violaciones de la seguridad” y lo define como “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Remarcar que dicha definición establecida por la normativa comunitaria, solo será relevante a incidentes que afecten a datos de carácter personal.

Tipos de brechas de seguridad

Según la Guía para la gestión y notificación de brechas de seguridad, elaborada por la Agencia Española de Protección de Datos (en adelante, AEPD), se pueden encontrar:

  • Brecha de confidencialidad: Tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella.
  • Brecha de integridad: se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo.
  • Brecha de disponibilidad: su consecuencia es que no se puede acceder a los datos originales cuando es necesario.”

El pasado año, según datos de la AEPD, se han notificado 1.370 brechas de seguridad de datos personales, principalmente sufridas por organizaciones privadas a través de la tipología de brechas de confidencialidad.

 ¿Es necesario notificar una brecha de seguridad?

Tras la entrada en vigor del RGPD, y como una de las novedades que introdujo, se impone la obligación de notificar a las autoridades de control competente del incidente de seguridad lo antes posible, sin dilación, y a más tardar 72 horas después de que se haya tenido constancia de la misma como así se recoge en el artículo 33 del RGPD. A tal efecto, se entiende por “constancia” el momento en el que haya una certeza de que se ha producido y se dispone del conocimiento suficiente de su naturaleza y alcance.

Para facilitar este deber, la AEPD ha elaborado un formulario a través del cual las organizaciones pueden notificar a la autoridad de control española en sede electrónica.

¿Se puede notificar más tarde si no se dispones de toda la información relevante desde un principio? 

Sí, se facilita a las compañías un sistema de comunicación gradual. Así, la primera comunicación deberá realizarse en las primeras 72 horas y el resto de información exigida se proporcionará de manera progresiva a la mayor brevedad posible y sin dilación alguna siguiendo el artículo 33.4 del RGPD.

¿Se debe notificar también a los afectados?

Se debe llevar a cabo una valoración teniendo en cuenta algunos factores como el tipo de brecha, el volumen de datos o la facilidad de identificación de los interesados, de forma que pueda concluirse si ello ha supuesto un riesgo para los derechos de los mismos. En caso afirmativo, se les comunicará a la mayor brevedad posible y con un lenguaje claro y sencillo.

¿Cuál es el contenido de la notificación?

En la notificación se incluyen los datos identificativos y de contacto de la empresa y el responsable del tratamiento o Delegado de Protección de Datos. Además, se detalla la fecha y hora en la que se detecta la brecha de seguridad y en la que se produce el incidente, cuáles son las circunstancias del robo, el grado de sensibilidad de los datos, el número de afectados y las posibles consecuencias, como se especifica en el artículo 33 apartado 3 del RGPD.

¿Cómo se puede prever una brecha de seguridad?

La prevención se basa en las siguientes medidas: técnicas, organizativas y legales. Tanto el responsable como el encargado del tratamiento de datos serán los competentes para aplicar dichas medidas, en base a lo establecido en los artículos 24 y 28 del RGPD. No obstante, habrá que ajustar cada una de ellas en función de la organización. No hay duda de que cada sociedad es diferente, por lo que la aplicación de las medidas correctoras que ayudan a salvaguardar los derechos de los clientes y empleados en relación a sus datos personales, dependerán de la complejidad, coste y riesgo que asuma la compañía.

En LABE Abogados contamos con expertos que podrán asesorarte en la materia. No dudes en ponerte en contacto con nosotros, resolveremos todas tus preguntas.

ARTÍCULOS RELACIONADOS

PASEO DE LA CASTELLANA 30, MADRID

CONTACTA

Tfno: +34 91 314 90 16

Fax: +34 91 279 79 13

Email: info@labeabogados.com

NUESTRO HORARIO

Lunes a jueves

De 9:00 a 19:00

Viernes

De 8:00 a 15:00

Copyright © 2022 LABE Abogados y Consultores. Todos los derechos reservados  │ AVISO LEGAL Y POLÍTICA DE PRIVACIDAD | POLÍTICA DE COOKIES