27 Feb Qué hacer ante una brecha de seguridad en tu negocio

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como ‘quiebras o brechas de seguridad’, de una forma muy amplia. Considera brecha de seguridad todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.

Ejemplos de brechas de seguridad

Se consideran, por ejemplo, brechas de seguridad:

– la pérdida o robo de un dispositivo que contenga datos personales (smartphone, ordenador portátil, tablet, etc.)

– el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal)

– el borrado accidental de ficheros que contengan datos de carácter personal

– la fuga de información debida a un ataque en la red corporativa o en la página web

– la pérdida de documentación con información sensible

Algunas de las recientes brechas de seguridad que hemos conocido:

• La propia Microsoft, una de las empresas que más datos de usuarios tiene en sus registros, fue hackeada en el mes de diciembre de 2019. Los datos de hasta 250 millones de usuarios podrían haber quedado expuestos.
• En la la red diaria del Ministerio de Defensa. Esta brecha de seguridad de datos se dio a conocer cuando esta red llevaba infectada dos meses.
• Cientos de millones de cuentas de correo de todo el mundo y sus contraseñas de acceso.
• La Universidad de Valladolid.
• La app de Metro de Valencia.
• Las fotos privadas de casi 7 millones de usuarios de Facebook.

Daños que puede ocasionar una brecha de seguridad

Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, tales como:

– pérdida de control sobre sus datos personales

– restricción de sus derechos

– discriminación

– usurpación de identidad

– pérdidas económicas

– reversión no autorizada de la seudonimización

– daños reputacionales

– pérdida de confidencialidad de datos sujetos al secreto profesional

– cualquier otro perjuicio económico o social significativo para la persona física en cuestión.

¿Quién debe comunicar una brecha de seguridad?

Debe comunicarlo el Responsable del tratamiento cuando tenga conocimiento de que se ha producido una violación de seguridad o, en su caso, si así se lo ordena el Responsable, el Encargado de tratamiento.

Si el primero que tiene conocimiento de la ocurrencia es el Encargado de tratamiento, éste ha de comunicar la incidencia al Responsable a la mayor brevedad posible, para que el Responsable pueda activar los protocolos correspondientes.

¿Cuándo comunicar una brecha de seguridad?

Cuando una empresa sufra una brecha de la seguridad de los datos, el Responsable del tratamiento debe notificarla a la Autoridad de Control competente (AEPD), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

El Responsable deberá, sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales. Si dicha notificación no es posible en este plazo, debe acompañarse de una indicación de los motivos del retraso, pudiendo facilitarse la información por fases.

¿A quién comunicar la brecha de seguridad?

En el plazo indicado, hay que comunicarlo a:

– La Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

– A los propios afectados: en los casos en que sea probable que la violación de seguridad entrañe alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que éstos puedan reaccionar lo antes posible y tomar medidas para protegerse de las consecuencias de la brecha de seguridad.

Por ello, el RGPD requiere que la notificación se realice sin dilación indebida.

La UE elaborará un formulario estandarizado a nivel europeo para facilitar a los Responsables la presentación de unas notificaciones completas, según los criterios del RGPD, y para que esas notificaciones se efectúen de forma coordinada en toda la UE.

La AEPD tiene un canal específico para este tipo de notificaciones en su página web dentro de su sede electrónica.

Excepción a comunicar una brecha de seguridad de datos

No es obligatorio comunicar la ocurrencia de una brecha de seguridad si el Responsable puede demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de seguridad entrañe un riesgo para los derechos y las libertades de las personas afectadas.

El Responsable deberá analizar subjetivamente el supuesto concreto y determinar la probabilidad del riesgo.

Así, con carácter general, la notificación a los interesados no sería necesaria cuando:

• El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.

• El responsable hubiera tomado con posterioridad a la quiebra medidas técnicas que asegurasen que ya no hay posibilidad de que el alto riesgo se materialice.

• La notificación supusiera un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas, como puede ser una comunicación pública.

Criterios para valorar si un incidente de seguridad debe notificarse

A la hora de decidir si se ha de notificar un determinado incidente de seguridad, hay que tener en cuenta:

• El potencial daño para los datos de los interesados: formas en las que el potencial daño puede materializarse (por ejemplo: robo de identidad o fuga de datos sobre aspectos privados de la vida de personas físicas como por ejemplo sus circunstancias económicas).

• El volumen de datos personales afectados: se tendrá que evaluar en relación con el tipo de datos objeto de la brecha de seguridad.

• Verificar si los datos afectados se encuadran dentro de los especialmente sensibles

Procedimiento para notificar una brecha de seguridad de datos

Los pasos para informar a la AEPD de la ocurrencia de una brecha de seguridad son los siguientes:

1. Valorar el riesgo: Consistiría en determinar hasta qué punto el incidente de seguridad, por sus características, el tipo de datos a los que afecta o el tipo de consecuencias que puede ocasionar a los afectados, pudiera causar un daño en sus derechos o libertades.

2. Evaluar si hay daños materiales o inmateriales: Estos daños pueden ir desde la posible discriminación de los afectados, debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada, hasta la suplantación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

3. Calcular el alcance: Se entiende que se tiene conocimiento de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación. En esas condiciones no sería posible, en la mayoría de los casos, evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.

4. Alto riesgo / Gran impacto: En supuestos de brechas que, por sus características, pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la Autoridad de control tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos.

Puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad en determinar completamente su alcance. En esos casos, es posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso. El criterio de alto riesgo debe entenderse en el sentido de que sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

5. Comunicar la violación a la AEPD a través de su canal online. El contenido mínimo de las comunicaciones a la AEPD y a los afectados debe ser:

• la naturaleza de la violación

• categorías de datos y de interesados afectados

• medidas adoptadas por el responsable para solventar la quiebra

• si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Si no fuera posible facilitar la información indicada anteriormente de forma simultánea, y en la medida en que no lo sea, la información se deberá facilitar a la Autoridad de Control de manera gradual y sin dilación indebida.

Sanciones

El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del Responsable del tratamiento se considera como infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Las multas administrativas se impondrán en función de las circunstancias de cada caso y se graduarán en función de los criterios recogidos en el RGPD.

¿No sabes qué hacer porque tu negocio ha sufrido una brecha de seguridad de datos?

Contáctanos y te prestamos ayuda URGENTE.