El nuevo Reglamento General de Protección de Datos (RGPD) obliga a cualquier negocio, empresa o entidad que haya sufrido una violación de seguridad sobre sus datos personales, a comunicarlo en un plazo de 72 horas ante la Agencia Española de Protección de Datos (AEDP). Además, si los datos tratados constituyen un riesgo por los derechos y las libertades de las personas físicas, lo tendrá que notificar a todos los afectados.
Por este motivo las compañías y entidades deberían preocuparse más por las brechas de seguridad y como tienen que actuar al respecto, puesto que podrían ser sancionadas si se demuestra que una violación de seguridad sucede por no cumplir las medidas de seguridad necesarias.
La AEDP ha publicado una “Guía para la gestión y notificación de brechas de seguridad” como documento de apoyo para saber qué medidas hay que tomar ante posibles brechas de seguridad.
Importancia de una buena prevención
La identificación de cualquier tipo de brecha o problema de seguridad tiene que llevarse a cabo de forma continuada mediante fuentes internas (medidas de seguridad implantadas en la organización como por ejemplo: avisos de usuarios, alertas notificadas por antivirus, etc.) y fuentes externas (comunicaciones de clientes, proveedores u organismos públicos).
- Brechas de confidencialidad: cuando suceden accesos no autorizados a la información.
- Brechas de integridad: tienen lugar cuando se modifica la información original y esto implica un peligro para los datos.
- Brechas de disponibilidad: no se puede acceder a la información durante un periodo corto de tiempo (en estos casos la información se puede recuperar) o periodo permanente (la información no es recuperable).
Procedimiento de actuación
Ante cualquier brecha de seguridad, hay una serie de pasos a seguir:
1. Contención: tomar medidas para evitar una posible expansión.
2. Erradicación: solucionar los posibles efectos, como por ejemplo, eliminación de un malware.
3. Recuperación: cuando se haya resuelto el incidente, se tendrá que comprobar el pleno funcionamiento de las actividades afectadas y se programarán controles periódicos.
4. Notificación: siempre que la brecha suponga un riesgo para los derechos y las libertades de personas físicas afectadas, el responsable del tratamiento de datos personales lo tendrá que notificar en un máximo de 72 horas a la autoridad de control competente y, cuando sea necesario, a las personas afectadas.
Para más información sobre las brechas de seguridad leer el artículo “Notificación de las violaciones de seguridad de datos según el RGPD”