· 

BRECHA DE SEGURIDAD Y LEY DE PROTECCION DE DATOS

¬ŅQu√© es una "brecha de seguridad" y c√≥mo afecta a la Ley de Protecci√≥n de Datos?

Con la nueva Ley De Protección de Datos , LOPDGDD, se habla constantemente de Seguridad y de Brechas de Seguridad, pero, realmente tenemos una definición exacta o sabemos qué es ya que una violación o brecha de seguridad es un concepto muy amplio.

                                 

No hay una definici√≥n expresa en ning√ļn art√≠culo en la normativa.

 

Puede ser una modificación sin permiso del administrador de una base de datos, una pérdida parcial o total de la misma, o incluso la destrucción de las copias de seguridad.

 

Estos incidentes deben ser tratados con suma cautela y tal como indica la normativa, porque no solo supone un agravio para tu empresa, si no que esos datos de tus clientes puede caer en malas manos y ellos también sufrir las consecuencias.

 

En los Considerandos dice que una brecha de seguridad es ‚Äútoda violaci√≥n que ocasione la destrucci√≥n, p√©rdida o alteraci√≥n accidental o il√≠cita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicaci√≥n o acceso no autorizado a dichos datos‚ÄĚ.

 

Asimismo el Reglamento General de Protección de Datos (RGPD) enuncia en los artículos 33 y 34 que las brechas de seguridad deben ser notificadas a la autoridad de control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

 

¬ŅEsto qu√© quiere decir?

 

Que siempre que en el ataque se vean afectados datos de car√°cter personal de personas f√≠sicas deberemos comunicarlo a la Agencia Espa√Īola de Protecci√≥n de Datos.

 

Adem√°s, deberemos notificarla en un plazo m√°ximo de 72 horas a contar desde que tengamos conocimiento de la brecha.

Pasos a seguir para la Gestión de una Brecha de Seguridad y cumplir con la Ley de Protección de Datos

1.  Apuntar en el registro interno la incidencia detectada.

 

El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.

 

Una vez resuelta la brecha se deberá también registrar la solución al problema.

 

Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.

 

2.  Averiguar si supone un riesgo para los derechos y libertades de los afectados.

 

¬°Este paso es clave!, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.

 

¬ŅPero c√≥mo saber si supone un riesgo?

 

El legislador nos ha dotado de una serie de criterios y ejemplos para poder dilucidarlo.

 

Se encuentran recogidos en el considerando 75 del RGPD y son los siguientes:

 

‚Ė∂ Que pueda provocar da√Īos y perjuicios f√≠sicos, materiales o inmateriales:

  • Problemas de discriminaci√≥n.
  • Usurpaci√≥n de identidad o fraude.
  • P√©rdidas financieras.
  • Da√Īo para la reputaci√≥n.
  • P√©rdida de confidenicalidad de datos sujetos al secreto profesional.
  • Reversi√≥n no autorizada de la seudonimizaci√≥n o cualquier otro perjuicio econ√≥mico o social significativo.

 

‚Ė∂ Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen:

 

  • El origen √©tnico o racial.
  • Las opiniones pol√≠ticas.
  • La religi√≥n o creencias filos√≥ficas.
  • La militancia en sindicatos.
  • El tratamiento de datos gen√©ticos.
  • Datos relativos a la salud o datos sobre la vida sexual.
  • Relativos a las condenas e infracciones penales o medidas de seguridad conexas.

 

‚Ė∂ En los casos en los que se eval√ļen aspectos personales:

  • En particular el an√°lisis o la predicci√≥n de aspectos referidos al rendimiento en el trabajo.
  • Situaci√≥n econ√≥mica.
  • Datos de salud.
  • Preferencias o intereses personales.
  • Fiabilidad o comportamiento, situaci√≥n o movimientos, con el fin de crear o utilizar perfiles personales.
  • En los casos en los que se traten datos personales de personas vulnerables, en particular ni√Īos.

Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.: https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf

 

3.  Notificación de la brecha de seguridad.

 

Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.

 

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades ser√° la autoridad de control nacional de protecci√≥n de datos, que en el caso de Espa√Īa es la Agencia Espa√Īola de Protecci√≥n de Datos.

 

¬ŅQui√©n debe notificar las brechas de seguridad?

 

El encargado de notificarlas ser√° el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaer√° en el representante del Responsable del Tratamiento.

 

¬ŅY si mi empresa tiene DPO?

 

En este caso será el Delegado de Protección de Datos el encargado de la notificación.

 

¬ŅExiste un plazo determinado?

 

Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.

 

El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.

¬ŅQu√© ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento de la Ley de Protecci√≥n de Datos?

Como el 99,9% de las entidades, contratamos con terceros que nos prestan alg√ļn servicio, como la gestor√≠a que nos lleva la n√≥minas, la empresa de inform√°tica, etc.

 

Estos tienen acceso a parte de los datos de los que somos responsables, y también pueden sufrir una brecha de seguridad.

 

Si eso pasa, deben notificar inmediatamente al responsable, que tiene la obligación de realizar la notificación a la AEPD y a los afectados.

 

Para que no se le ‚Äúolvide‚ÄĚ al encargado, recomendamos establecer protocolos de comunicaci√≥n y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.

¬ŅPuedo usar la misma notificaci√≥n para la AEPD (Agencia Espa√Īola de Protecci√≥n de Datos) y para el interesado?

ūüö®¬†NO¬†ūüö®

 

La AEPD, es la mayor autoridad de protecci√≥n de datos en Espa√Īa y te pedir√° una serie de f√≥rmulas a la hora de redactar el escrito de notificaci√≥n, as√≠ como una informaci√≥n m√°s exhaustiva.

 

A los afectados debes dirigirte de una forma menos oscura para ellos, utilizando términos claros y fácil, entendibles, y explicándoles en qué les puede afectar esta brecha y cómo lo estamos solucionando.

¬ŅTengo que notificar siempre la brecha de seguridad para cumplir con la Ley de Protecci√≥n de Datos?

Sí y no.

 

No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas.

 

  • Los casos que recoge la gu√≠a donde no habr√≠a obligaci√≥n de comunicar estas brechas se describen a continuaci√≥n:
  • Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protecci√≥n efectiva, como por ejemplo, habiendo cifrado los datos personales.
  • Siempre que estas medidas sean previas a la brecha de seguridad.
  • Cuando el responsable del tratamiento haya tomado las medidas oportunas de protecci√≥n -tras la producci√≥n de la brecha de seguridad- con la intenci√≥n de causar el m√≠nimo da√Īo posible a los afectados.
  • Y cuando de la realizaci√≥n de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.

Sanciones

Como estaremos oyendo por todos lados, la nueva normativa endurece las sanciones de forma considerable.

 

Por ejemplo, en este caso, si incumplimos la obligación de notificar las brechas de seguridad seremos considerados infractores graves, lo cual nos puede acarrear sanciones en forma de multa administrativa:

 

De 10 millones de euros como m√°ximo.

 

Una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

 

Siempre se optará por el de mayor cuantía.


En Grupo Altabir,¬† Consultor√≠a especializada en la implantaci√≥n de la Ley de Protecci√≥n de Datos en Granada con m√°s de 20 a√Īos de experiencia, te ayudamos a¬† cumplir con la normativa y te implantamos la LOPD design√°ndote un DPO para que te despreocupes de todo y te centres s√≥lo en sacar tu empresa adelante dejando en nuestras manos todo lo que corresponde a la Normativa.

 

Solicítanos más información

 

¬°QUIERO M√ĀS INFORMACI√ďN!

 

www.altabir.es


Artículo publicado por Elisa Campoy Soler

Experiencia garantizada

Grupo Altabir¬ģ una empresa con m√°s de 20 a√Īos de experiencia.

 

Implantación de Normativas: LOPD - LSSI - RGPD - LOPDGDD

 

Para Grupo Altabir¬ģ tu tranquilidad es lo primero.



¬ŅQui√©nes conf√≠an en nosotros?



C/ Luis Amador, 26

Centro de Negocios C√°mara de Comercio

Oficina B-P0

 C.P. 18014  -  GRANADA

Teléfonos:   958 075 564

                       664 494 322

 

Escríbenos a:   info@altabir.es