¿Qué hacer en los casos de brechas de seguridad?

20 septiembre 2018

Comentario a la Guía para la gestión y notificación de brechas de seguridad

20 septiembre 2018

La Agencia Española de Protección de Datos (de ahora en adelante AEPD) y La Asociación española para el fomento de la seguridad de la información (ISMS fórum Spain) han contribuido en la creación de la Guía para la gestión y notificación de brechas de seguridad con la colaboración del Centro Criptológico Nacional (CCN) y el Instituto Nacional de Seguridad (INCIBE).
La notificación de las brechas de seguridad a la autoridad de control competente, es obligatoria y tiene carácter universal, es decir, es aplicable a TODOS aquellos responsables y encargados del tratamiento de datos de carácter personal, y ello, desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), pues, anteriormente, solo era obligatorio para operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza.

Esta medida más reforzada, es el resultado de la línea normativa que ha seguido el citado Reglamento basado en la proactividad de encargados y responsables del tratamiento, así como en lograr un balance entre la economía digital y el derecho fundamental de todos los interesados a que se garantice su tratamiento de datos de carácter personal de manera legal honesta y veraz.

El objetivo de esta Guía, por tanto, es el de orientar a las entidades que tratan con datos de carácter personal sobre como estar preparados, el análisis, el plan de actuación y la respuesta y notificación ante el organismo oportuno. Todo ello, teniendo en consideración que el objetivo de esta medida tiene un doble componente: el tecnológico con la implantación de las medidas de seguridad, y el legal o tasado normativamente, en lo referente a la valoración de los riesgos para los derechos y libertades de las personas.

La Agencia recomienda elaborar un plan de actuación o contingencia o un “procedimiento de respuesta a incidentes”, dividido en los siguientes pasos:

  1. Una primera detección o identificación en el que se deberán individualizar los distintos incidentes de seguridad, así como las herramientas y mecanismos de detección o sistemas de alerta. Esta primera fase es muy importante, ya que desde el primer momento en que se detecta la brecha, será necesario notificarlo a la autoridad competente en un plazo no superior a 72 horas.
  2. Un análisis de riesgo, y en caso de que sea necesaria, la evaluación de impacto, recabando información y clasificando el incidente de la manera más precisa posible.
  3. Una definición de los “planes de respuesta a incidentes”, que tienen como principal objetivo la erradicación de la situación de brecha de seguridad generada, estableciendo en un último momento las acciones de recuperación pertinentes.
  4. Una vez seguido el plan de actuación anteriormente descrito, el responsable del tratamiento deberá notificar a la autoridad competente sin dilaciones indebidas (plazo máximo de 72 horas) la brecha de seguridad detectada. No obstante, y después del procedimiento de actuación ya satisfecho será mucho más sencillo gestionar las violaciones de seguridad. La única excepción que contempla el RGPD para no efectuar dicha comunicación será que el responsable pruebe de manera fehaciente que no existe riesgo para los derechos y libertades de las personas físicas.
  5. Para finalizar la AEPD recomienda realizar determinadas tareas de seguimiento y cierre, que concluyen mediante la elaboración de un informe final que detalle los matices del proceso y en concreto de la brecha de seguridad, valorando el impacto final del mismo.

En conclusión, la Guía comentada parece dar las herramientas necesarias a las entidades que sufran una brecha de seguridad de una forma clara y sencilla y con la garantía de cumplir con todas las obligaciones a las que los responsables del tratamiento de datos de carácter personal se enfrentan con la entrada en vigor del nuevo Reglamento General de Protección de Datos.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Lucía Martín-Sanz

Abogada. Departamento de Marcas.

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dataprotectionofficer@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios