Desde el 25 de mayo, todos los días recibimos noticias y notificaciones de brechas de seguridad en empresas de primer nivel que dejan millones de datos de clientes al descubierto.
La realidad, por difícil que parezca, es que el número de brechas de seguridad no ha aumentado desde la fecha de aplicación del “Reglamento de 27 de abril de 2016, de protección de datos” (RGPD), sino que hasta ahora nuestra normativa no contemplaba la obligación de notificar una violación de seguridad salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el RGPD extiende esta obligación a cualquier empresa que trate datos.
Un incidente de seguridad es la destrucción, pérdida o alteración de datos personales por causas internas o externas, pudiendo ser accidentales o intencionadas. Frente a la posibilidad de que ocurra, lo más importante a tener en cuenta en cualquier empresa debería ser (i) tener definido un procedimiento de gestión de brechas de seguridad; (ii) disponer de herramientas para valorar el riesgo del incidente; y (iii) saber si deberá notificar a la autoridad de control y a los interesados en función de las características del incidente y el riesgo derivado del mismo para los interesados.
La notificación a la autoridad de control exigida por el RGPD se requiere cuando el incidente pueda provocar un riesgo para los interesados y debe hacerse en el plazo de 72 desde que se tiene certeza (constancia real) de que se ha producido. También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto y siempre que no se comprometa el resultado de una investigación en curso, en cuyo caso la comunicación se puede realizar más adelante, todo esto bajo la supervisión de la autoridad de control.
Adicionalmente, es crucial la respuesta temprana para tratar de mitigar las consecuencias del incidente mediante medidas de seguridad que frenen el acceso a los datos, su modificación o su lectura.
La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención; deben establecerse todas las medidas posibles para evitar las brechas de seguridad, incorporar impedimentos para la lectura y modificación no autorizadas de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos.
El Comité Europeo de Protección de Datos, antiguo Grupo de trabajo del Artículo 29 elaboró una “Guía sobre notificación de las violaciones de seguridad” que resuelve muchas de las cuestiones que generar dudas en este asunto. Asimismo, la AEPD publicó el 19 de junio de 2018 una “Guía para la gestión y notificación de brechas de seguridad” con directrices para detectar, gestionar y evaluar la notificación de brechas de seguridad.
Autores: Martín Bello y Cristina Espín
Visite nuestra web: http://www.elzaburu.com/