PROFESSIONALS EN PROTECCIÓ DE DADES

BRETXES DE SEGURETAT: Com actuar davant la nova normativa europea

On novembre 7, 2018

BRETXES DE SEGURETAT: Com actuar davant la nova normativa europea

El nou Reglament General de Protecció de Dades (RGPD) obliga a qualsevol negoci, empresa o entitat que hagi sofert una violació de seguretat sobre les seves dades personals, a comunicar-ho en un termini de 72 hores davant l’Agència Espanyola de Protecció de Dades (AEDP). A més, si les dades tractades constitueixen un risc pels drets i les llibertats de les persones físiques, ho haurà de notificar a tots els afectats.

 

Per aquest motiu les companyies i entitats haurien de preocupar-se més per les bretxes de seguretat i com han d’actuar al respecte, ja que podrien ser sancionades si es demostra que una violació de seguretat succeeix per no complir les mesures de seguretat necessàries.

 

L’ AEDP ha publicat una “Guia per a la gestió i notificació de bretxes de seguretat” com a document de suport per saber quines mesures cal prendre davant de possibles bretxes de seguretat.

 

Importància d’una bona prevenció

La identificació de qualsevol tipus de bretxa o problema de seguretat ha de dur-se a terme de forma continuada mitjançant fonts internes (mesures de seguretat implantades en l’organització com per exemple: avisos d’usuaris, alertes notificades per antivirus, etc.) i fonts externes (comunicacions de clients, proveïdors o organismes públics).

 

Tipus de bretxes

  • Bretxes de confidencialitat: quan succeeixen accessos no autoritzats a la informació.
  • Bretxes d’integritat: tenen lloc quan es modifica la informació original i això implica un perill per a les dades.
  • Bretxes de disponibilitat: no es pot accedir a la informació durant un període curt de temps (en aquests casos la informació es pot recuperar) o període permanent (la informació no és recuperable).

 

Procediment d’actuació

Davant qualsevol bretxa de seguretat, hi ha una sèrie de passos a seguir:

1. Contenció: prendre mesures per evitar una possible expansió.

2. Eradicació: solucionar els possibles efectes, com per exemple, eliminació d’un malware.

3. Recuperació: quan s’hagi resolt l’incident, s’haurà de comprovar el ple funcionament de les activitat afectades i es programaran controls periòdics.

4. Notificació: sempre que la bretxa suposi un risc per als drets i les llibertats de persones físiques afectades, el responsable del tractament de dades personals ho haurà de notificar en un màxim de 72 hores a l’autoritat de control competent i, quan sigui necessari, a les persones afectades.

 

Per a més informació sobre les bretxes de seguretat llegir l’article “Notificació de les violacions de seguretat de dades segons el RGPD

  • By mariona  0 Comments