Es difícil imaginar un servicio que no gestionemos total o parcialmente a través de internet. La vida se ha digitalizado. Trámites administrativos, compras, pagos, conversaciones, parejas… las aplicaciones lo engloban todo. Estamos más conectados que nunca, pero también somos mucho más vulnerables. Los ataques a cuentas bancarias, robos de identidad… son una constante. Tanto en particulares, como ahora, en las pymes, que se han convertido en el principal objetivo de los ciberatacantes.
¿Qué es una brecha de seguridad de datos personales?
Una brecha de seguridad es un incidente que afecta a datos de carácter personal, y que puede tener un origen accidental o intencionado. Este suceso puede provocar la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
¿Cómo debemos actuar ante una brecha de seguridad?
ANTES DE QUE SE PRODUZCA: siempre hay que estar preparados para la posibilidad de que se produzca un ataque contra nuestros datos, por lo que han de tomarse todas las medidas preventivas posibles (definir perfiles autorizados, actualizaciones de software y antivirus…). Deberemos valorar los riesgos a los que estamos expuestos y articular mecanismos de detección de brechas de seguridad.
El primer paso para una gestión adecuada de nuestra información es el acceso a la misma. Os recomendamos un artículo de nuestra web: 5 consejos para tener una contraseña segura difícil de «hackear»
SI SE PRODUCE UNA BRECHA DE SEGURIDAD: el responsable de tratamiento debe poner en marcha el plan de actuación. En este momento hay que valorar la situación para decidir qué medidas adoptar para resolver la brecha y minimizar sus consecuencias (por ejemplo, el bloqueo remoto). Para ello, hemos de verificar, según la Agencia Española de Protección de Datos (AEPD):
- Medio por el que se ha materializado la brecha (pérdida de dispositivo, robo, envío a destinatario equivocado… ).
- Origen de la brecha.
- Tipos de datos.
- Volumen de datos afectados.
- Categorías de afectados.
- Información temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de seguridad.
Notificación a la AEPD y comunicación a los afectados
Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc.
Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas, debe notificarse ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia de la misma.
Si entraña un alto riesgo también deberá comunicarse sin dilación indebida a los afectados.
Independientemente de si se ha notificado a la AEPD o no, debe llevarse un registro de las brechas de seguridad, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.
Forma parte del principio de responsabilidad proactiva documentar en detalle la brecha y las acciones tomadas para gestionarla y prevenirla en el futuro.
_________________________
Pídenos una valoración sin compromiso para cumplir con todos los requisitos en materia de protección de datos y seguridad de la información.
