{"id":9311,"date":"2021-05-11T13:34:16","date_gmt":"2021-05-11T11:34:16","guid":{"rendered":"https:\/\/auris.bcntic.com\/?p=9311"},"modified":"2021-05-19T18:28:23","modified_gmt":"2021-05-19T16:28:23","slug":"brechas-de-seguridad-de-los-datos","status":"publish","type":"post","link":"https:\/\/auris.bcntic.com\/ca\/brechas-de-seguridad-de-los-datos\/","title":{"rendered":"Brechas de seguridad de los datos. C\u00f3mo actuar"},"content":{"rendered":"

Garantizar la seguridad de los datos personales que se encuentran en la esfera de control de nuestra empresa o actividad profesional es uno de los pilares de la Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de los Datos Personales y garant\u00eda de los derechos digitales (LOPD GDD)<\/strong>. Dicha ley, es la transposici\u00f3n al ordenamiento jur\u00eddico espa\u00f1ol del Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) <\/strong>que deroga la anterior LOPD (la antigua Ley Org\u00e1nica 15\/1999, de 5 de diciembre, de protecci\u00f3n de datos personales<\/strong>).<\/p>\n

La nueva ley de protecci\u00f3n de datos obliga a todas las empresas, organizaciones y a los profesionales a establecer en su actividad, entre otras muchas cosas, las medidas t\u00e9cnicas y organizativas necesarias para evitar las \u00a0\u2018brechas de seguridad de los datos\u2019.<\/p>\n

Pero…, \u00bfQu\u00e9 es una brecha de seguridad de los datos?<\/b><\/h2>\n

Seg\u00fan la definici\u00f3n establecida por el RGPD, una brecha de seguridad puede ser cualquier incidencia que resulte en la destrucci\u00f3n, p\u00e9rdida o alteraci\u00f3n accidental o il\u00edcita de datos personales; la transmisi\u00f3n, conservaci\u00f3n o el tratamiento err\u00f3neo de los mismos y\/o la comunicaci\u00f3n o acceso a los datos de forma indebida<\/u>.<\/p>\n

Sufriremos una brecha de seguridad, por ejemplo, si nos roban un dispositivo de la empresa (tal como un Smartphone<\/em>, un port\u00e1til o una Tablet)<\/em> que contenga datos personales o que permita acceder a ellos mediante conexi\u00f3n remota. Tambi\u00e9n sufriremos una brecha de seguridad, por poner otro ejemplo, si un miembro de nuestra organizaci\u00f3n accede a datos personales de forma no autorizada. El borrado accidental de archivos que contengan datos personales, tambi\u00e9n constituye brecha de seguridad.<\/p>\n

As\u00ed mismo, la fuga de informaci\u00f3n por ciberataque es brecha; el extrav\u00edo de documentaci\u00f3n con informaci\u00f3n sensible tambi\u00e9n; y podr\u00edamos seguir largo y tendido con la ejemplificaci\u00f3n de supuestos de brecha. La casu\u00edstica es muy extensa y las brechas de seguridad son frecuentes y comunes.<\/p>\n

Ahora bien, no todas las brechas de seguridad de los datos tienen la misma entidad. Las hay de escasa importancia. Pero en el supuesto de brechas que pudieren afectar a los derechos y libertades de las personas interesadas, se deben comunicar a la autoridad competente dentro del plazo establecido para ello (en las 72 horas inmediatamente posteriores a la brecha). Notificaremos a la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos o, en su caso, a la agencia auton\u00f3mica. Adicionalmente, en los supuestos de brecha en los que exista riesgo elevado para los interesados, deberemos notificar sin dilaci\u00f3n a las personas afectadas, siempre y en todo caso.<\/p>\n

Si el responsable de los datos puede probar, en atenci\u00f3n al principio de responsabilidad proactiva, que la brecha de seguridad no supone riesgo para los derechos y libertades de los afectados, una vez analizados subjetivamente los supuestos y determinado el riesgo, podr\u00e1 quedar exento del deber de comunicar la violaci\u00f3n de seguridad sufrida.<\/p>\n

Por todo lo anterior, es preciso saber c\u00f3mo determinar de forma muy concreta el alcance de las brechas de seguridad de los datos que nos afecten. Es importante disponer de las herramientas y protocolos pertinentes para no agravar una situaci\u00f3n que, de por s\u00ed, ya supone un elevad\u00edsimo riego de recibir sanci\u00f3n. A saber, las sanciones de la AEPD pueden alcanzar cifras estratosf\u00e9ricas, del orden de 20 millones de euros o un 4% de la facturaci\u00f3n anual del ejercicio anterior<\/strong>, aplicando siempre la cantidad que resulte m\u00e1s elevada (art. 83 RGPD).<\/p>\n

La gesti\u00f3n empresarial de la Protecci\u00f3n de Datos debe atenderse como lo que es: una prioridad absoluta.<\/p>\n

\u00bfC\u00f3mo debemos gestionar la brechas de seguridad de los datos?<\/strong><\/h2>\n

En primer lugar, deberemos determinar la magnitud de la brecha: su peligrosidad, el nivel de impacto potencial sobre los afectados y clasificar el incidente. Para poder realizar todo lo anterior, recurriremos al an\u00e1lisis de riesgos<\/strong> o a la evaluaci\u00f3n de impacto<\/strong>. Estudios que nuestro equipo de Protecci\u00f3n de Datos habr\u00e1 llevado a cabo con anterioridad y que mantendremos debidamente actualizado<\/u><\/strong>.<\/p>\n

En esta direcci\u00f3n, podemos establecer tres fases principales en la gesti\u00f3n de una eventual brecha de seguridad:<\/p>\n

    \n
  1. fase de preparaci\u00f3n<\/strong><\/li>\n
  2. fase de identificaci\u00f3n<\/strong><\/li>\n
  3. fase de actuaci\u00f3n<\/strong><\/li>\n<\/ol>\n

    En cuanto a la fase de preparaci\u00f3n<\/strong>, es obvio que debemos haber implementado las medidas t\u00e9cnicas y organizativas necesarias para adaptarnos a la normativa vigente. Tendremos al d\u00eda nuestros an\u00e1lisis de riesgos o evaluaciones de impacto (en caso de que estemos obligados a ello. No siempre ser\u00e1 requisito legal disponer de una evaluaci\u00f3n de impacto de nuestra actividad profesional). Deberemos disponer de un plan de contingencia perfectamente definido<\/strong>.<\/p>\n

    Evitaremos a toda costa actuar de forma reactiva. \u00a0Es fundamental mantener la adaptaci\u00f3n al RGPD siempre actualizada.<\/p>\n

    A colaci\u00f3n de lo anterior, vale advertir que la normativa es clara: la protecci\u00f3n de datos debe implementarse por defecto y desde el dise\u00f1o inicial del ejercicio de nuestra actividad. Y, atenci\u00f3n: esta obligaci\u00f3n normativa afecta a aut\u00f3nomos y a peque\u00f1as empresas al igual que a las grandes corporaciones, entidades, asociaciones, colegios, cl\u00ednicas, etc. Toda actividad profesional debe estar adaptada a la normativa en esta materia antes de operar en el tr\u00e1fico jur\u00eddico, bajo riesgo de sanci\u00f3n.<\/p>\n

    Una vez en condiciones de superar una brecha de seguridad de los datos, prestaremos atenci\u00f3n a la detecci\u00f3n de incidentes que, a menudo, pasan desapercibidos. Operaremos en nuestra actividad prestando atenci\u00f3n diligente a todo incidente relacionado con los datos personales que est\u00e1n en nuestra esfera de control. Concretamente, en esta segunda fase, la fase de detecci\u00f3n<\/strong>, deberemos analizar las situaciones que potencialmente pueden provocar una brecha de seguridad. Mantendremos los mecanismos de detecci\u00f3n siempre en alerta y analizaremos la informaci\u00f3n obtenida de nuestro sistema de prevenci\u00f3n regularmente y sin abandono.<\/p>\n

    Detectado un incidente de seguridad, deberemos considerar los siguientes factores en aras de clasificar la amenaza que supone nuestra potencial brecha para las personas afectadas:<\/p>\n