La Agencia de Protección de Datos (AEPD) en su objetivo de ayudar a los responsables de tratamiento de datos a cumplir con el nuevo Reglamento Europeo de Protección de Datos (RGPD) ha publicado una Guía para saber cómo actuar ante las posibles brechas de seguridad que puedan producirse.
Hasta el pasado 25 de mayo de 2018, fecha de aplicación del nuevo Reglamento, solo estaban obligados a notificar estas brechas de seguridad los operadores de servicios de comunicaciones electrónicas y los prestadores de servicios de confianza. A partir de la entrada en vigor de la nueva norma europea, esta obligación pasa a ser una imposición para todos los responsables del tratamiento de datos personales. Con la única excepción de que el responsable pueda demostrar que la brecha de la seguridad no supone un riesgo para los derechos y las libertades de las personas físicas.
Según el nuevo RGPD, las brechas de seguridad o violaciones de seguridad de los datos personales, son “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
En la guía publicada por la AEPD, que está disponible en este enlace, se establece un esquema a seguir para cumplir con la normativa sobre brechas de seguridad.
La Agencia de Protección de Datos (AEPD) en su objetivo de ayudar a los responsables de tratamiento de datos a cumplir con el nuevo Reglamento Europeo de Protección de Datos (RGPD) ha publicado una Guía para saber cómo actuar ante las posibles brechas de seguridad que puedan producirse.
Hasta el pasado 25 de mayo de 2018, fecha de aplicación del nuevo Reglamento, solo estaban obligados a notificar estas brechas de seguridad los operadores de servicios de comunicaciones electrónicas y los prestadores de servicios de confianza. A partir de la entrada en vigor de la nueva norma europea, esta obligación pasa a ser una imposición para todos los responsables del tratamiento de datos personales. Con la única excepción de que el responsable pueda demostrar que la brecha de la seguridad no supone un riesgo para los derechos y las libertades de las personas físicas.
Según el nuevo RGPD, las brechas de seguridad o violaciones de seguridad de los datos personales, son “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
En la guía publicada por la AEPD, que está disponible en este enlace, se establece un esquema a seguir para cumplir con la normativa sobre brechas de seguridad.
La gestión de brechas debe ser tenida en cuenta desde el diseño de las actividades de tratamiento y formar parte de las medidas de seguridad para garantizar los derechos y libertades de las personas.
Una vez detectada e identificada esta brecha de seguridad, la Ley establece que los responsables de tratamiento deben notificar la incidencia a la autoridad competente. En caso de España, es la propia AEPD. El plazo para notificar es de máximo 72 horas, tras la detección.
Durante esta fase de detección e identificación se deben concretar las situaciones que se consideran incidentes de seguridad y las herramientas, mecanismos de detección o sistemas de alerta. Como se expone en la Guía, una vez identificado el incidente es necesario contar con medios para documentar el seguimiento del mismo, quedando anotados todos los aspectos del incidente en un registro de incidencias. En este punto debe aplicarse el plan de acción que anteriormente se haya aprobado.
Tras la detección y notificación, el siguiente paso es el análisis y la clasificación. En la Guía podéis obtener información sobre los distintos tipos de brecha de seguridad, para saber cómo clasificarla. De la clasificación del incidente de seguridad dependen las acciones a emprender durante los procesos de respuesta y notificación.
El siguiente apartado es el proceso de respuesta. En él, en primer lugar, hay que intentar contener el incidente, tras lo cual se erradica la situación generada por el mismo y se termina con las acciones de recuperación oportunas. Todo este proceso de respuesta debe quedar debidamente documentado y ha de elaborarse un informe de respuesta que tras su análisis permita extraer conclusiones y elaborar ejercicios de lecciones aprendidas.
Por último, en caso de que el incidente de seguridad obtenga la clasificación de brecha de seguridad, en la que se han comprometido datos personales, se deberá iniciar también el proceso de notificación.
Es fundamental documentar todo el proceso para que la AEPD constate que se ha actuado según la Ley, lo que evitará posibles sanciones.