Una brecha de seguridad es un incidente de seguridad que afecta a los datos de carácter personal que se tratan en nuestra empresa y que pueden ocasionar la destrucción, pérdida, alteración, comunicación o acceso no autorizado a estos datos tal y como explica la AEPD (Asociación Española de Protección de Datos). Este concepto se ha tornado clave en términos de LOPD y RGPD.
Toda empresa debe estar preparada para actuar ante las brechas de seguridad que eventualmente puedan producirse y disponer de un plan de actuación que concrete las tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.
¿Cómo se producen una brecha de seguridad?
En cuanto a su origen, pueden ser accidentales o intencionadas y pueden afectar tanto a los datos tratados digitalmente como en formato papel.
¿Qué hacer si se produce una brecha de seguridad?
Para empezar y siguiendo nuestro plan de actuación tendremos que recabar una serie de información para decidir qué medidas tomar y qué acciones emprender. Además de valorar la necesidad de notificar a la autoridad de control y afectados.
- Como ha ocurrido: Perdida o robo de un dispositivo con datos personales, o se han publicado datos personales por error o se ha enviado a un destinatario equivocado, o bien hemos sufrido el ataque de un virus, un ransomware o un empleado ha sido víctima de phishing, etc.
- Origen de la brecha, si ha sido desde dentro de la empresa o bien externo ( virus, etc.) y si ha sido accidental o intencionada.
- Es muy importante conocer la categorías de datos que se han visto expuestos: si son datos básicos como datos de contacto o si bien son datos de categorías especiales como datos de salud, etc.
- Igualmente el volumen de datos que se han visto afectados, tanto en número de registros afectados como en número de personas afectadas.
- También la categorías de afectados: si se trata de clientes, empleados, estudiantes, pacientes, etc.
- Por ultimo la Información sobre cuándo se inició, cuándo se detecto y cuándo se resolvió o resolverá la brecha de seguridad.
Notificación a la AEPD y comunicación a los afectados
Como nos dice la AEPD, ante una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad.
Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en la sede electrónica.
Si además entraña un alto riesgo deberá comunicarse a los afectado. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.
¿Tienes dudas sobre la responsabilidad proactiva o sobre Protección de Datos? Contacta con nosotros sin compromiso.
Para cualquier duda a la hora de gestionar la brecha de seguridad o cuestiones relacionadas con Protección de Datos contacta sin compromiso.
Cualquier tratamiento de datos de carácter personal es fundamental recibir asesoramiento profesional. Y nosotros estamos aquí para ayudarte.
Comunícate con nosotros para conocer mucho más sobre Protección de datos para Pymes. También entérate sobre nuestros demás servicios. No dudes en contactarnos a través de nuestra web o por correo, y pídenos presupuesto sin compromiso. Además puedes seguirnos en redes sociales para estar al tanto de noticias, consejos, nuestros cursos y mucho más:
Si te ha resultado útil el artículo, puedes compartirlo pulsando los iconos que aparecen justo debajo de este artículo.
Comentarios recientes