Contacto

Cómo gestionar una brecha de datos personales

María Cerviño Rúa
Detección, registro, notificación a la AEPD, comunicación a los afectados... Explicamos cómo gestionar una brecha de datos personales
Para gestionar una brecha de datos personales hay que saber las exigencias legales en materia de notificación y comunicación


Una brecha de seguridad que afecte a datos personales es cualquier incidente que suponga el acceso no autorizado a los mismos, o que ocasione la destrucción, pérdida o alteración accidental o ilícita de dichos datos. Ante el creciente número de ciberataques que se producen contra las empresas, es fundamental que sepan cómo deben gestionar una brecha de datos personales para cumplir con la normativa en vigor.

Qué tipos de brechas de seguridad de datos personales existen

Se produce una brecha de la seguridad cuando se compromete la seguridad de los datos, sea de modo intencionado o no.

Entre las brechas no intencionadas puede ocurrir por ejemplo que los datos personales queden a la vista de personas no autorizadas (papeles encima de la mesa, pantallas de ordenadores a la vista…), que se extravíe un smartphone, o el envío por descuido de un email masivo sin ocultar a los destinatarios.

En cambio, estaremos ante una brecha intencionada cuando se produzcan accesos no autorizados a los datos personales, como por ejemplo en caso de ciberataque.

Ciberseguridad, comunicación: Es necesario un enfoque multidisciplinar para gestionar una brecha de datos personales

A la hora de gestionar una brecha de seguridad, las empresas deben optar por un enfoque multidisciplinar: desde la gestión del impacto reputacional y la comunicación hasta la adopción de nuevas medidas de seguridad que eviten que se vuelva a producir.

En este artículo veremos únicamente el enfoque legal o de cumplimiento normativo relativo a la protección de datos personales: qué medidas hay que tomar legalmente para gestionar una brecha de datos personales.

Las acciones que debe llevar a cabo una empresa para gestionar una brecha de datos personales se pueden sistematizar en cuatro grandes fases:

1. Detección y comunicación al responsable

En primer lugar, la persona que detecte la brecha debe comunicarla de inmediato al responsable del tratamiento o al responsable de privacidad, y además documentarla con una descripción detallada y la fecha y hora en que se ha producido o se ha tenido conocimiento.

2. Registro de brechas de seguridad

Una vez ha tenido conocimiento, el responsable debe registrar la violación en su registro de brechas de seguridad automatizado con el siguiente contenido mínimo:

  • Identificación de la brecha: identificador o código de la misma, descripción de incidente, fechas (de detección, notificación, etc.), responsabilidad en el tratamiento, persona que la hubiera detectado, y personas de contacto.
  • Tratamientos afectados.
  • Interesados y datos afectados.
  • Categorías de datos afectadas.
  • Número aproximado de interesados y de registros afectados por la brecha.
  • Descripción de la brecha: cómo se detectó, de qué tipo de brecha se trata (confidencialidad, integridad y/o disponibilidad), naturaleza de la misma con descripción cronológica, en detalle, desde la detección hasta la resolución, con fechas, intervinientes, causas, evidencias, etc.
  • Efectos ocasionados: descripción de las posibles consecuencias.
  • Medidas de seguridad previas: las adoptadas previas al incidente, destinadas a prevenir brechas.
  • Medidas para subsanar la brecha: las adoptadas o propuestas para poner remedio a la brecha, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  • Resolución de la brecha: brecha resuelta o no, fecha de resolución y personas encargadas de ello.
  • Recuperación de datos: información relativa al procedimiento de restauración, en caso de que hubiese sido necesario.
  • Determinación de la obligación de notificar y/o comunicar la brecha: Método propio y automatizado del sistema para ayudar a determinar el riesgo que puede suponer la brecha para los interesados y la obligación o no de notificar la brecha a la autoridad de control y/o comunicarla a los interesados. En este apartado se generarán los siguientes documentos:
    • Informe sobre la determinación de la obligación de notificar/comunicar una brecha de seguridad. Cuando proceda, información necesaria para la notificación de una brecha de seguridad a la autoridad de control y modelo de comunicación de una brecha de seguridad a los interesados.
    • Documentos adjuntos.
    • Relación de documentos adjuntos relacionados con la brecha, por ejemplo, la denuncia a la policía, informe informático, pruebas, evidencias, etc.
Gestionar una brecha de datos personales de manera adecuada es crítico para evitar cuantiosas sanciones de la AEPD

3. Notificación a la Agencia Española de Protección de Datos

Uno de los aspectos clava a tener en cuenta al gestionar una brecha de datos personales es que el Responsable del tratamiento está obligado a notificar una brecha de seguridad de datos personales a la Agencia Española de Protección de Datos (AEPD) en el plazo máximo de 72 horas desde que tuviera conocimiento de la misma, siempre que dicha brecha pueda suponer un riesgo para los derechos y las libertades de las personas físicas.

Se considera que existe este riesgo cuando la brecha pueda producir daños o perjuicios a Ias personas físicas, tales como por ejemplo:

  • Pérdida de control sobre los datos personales.
  • Restricción de los derechos. Discriminación.
  • Usurpación de identidad.
  • Pérdidas financieras.
  • Daño para la reputación.
  • Cualquier otro perjuicio económico o social significativo.

En cambio, si es improbable que la brecha de seguridad de los datos personales constituya un riesgo para los derechos y las libertades de las personas físicas, el Responsable del tratamiento no está obligado a notificarla a la AEPD y, por lo tanto, no debería llevar a cabo esta medida para gestionar una brecha de datos personales de acuerdo a la normativa.

En caso de que haya que notificar la brecha a la AEPD, debe concretarse:

  • Su naturaleza y contexto.
  • Los posibles efectos y consecuencias.
  • Las medidas correctivas adoptadas para remediar y mitigar estos efectos.
  • Siempre que sea posible, debe notificarse también qué categoría y número de interesados se vieron afectados.
  • También debe facilitarse el contacto del Delegado de Protección de Datos (si se ha designado), o cualquier otro contacto que pueda facilitar más información.

4. Comunicar la violación al interesado o titular/es de los datos personales

¿Para gestionar una brecha de datos personales es necesario comunicarla a los afectados? Para valorar la obligación de informar a las personas interesadas por una brecha de seguridad, la Agencia Española de Protección de Datos tiene la siguiente herramienta: Comunica-Brecha RGPD.

No será obligatorio comunicar la brecha a los interesados cuando los datos afectados estén protegidos de modo que sean ininteligibles para personas no autorizadas, o cuando se hayan adoptado medidas que neutralicen el riesgo para los derechos del interesado.

En cambio, será obligatorio comunicarla cuando exista un riesgo alto para los derechos y libertades del interesado, o cuando así lo exija la AEPD, y debe hacerse sin dilación indebida.

Es importante tener en cuenta a la hora de gestionar una brecha de datos personales que si comunicar la brecha a cada interesado individualmente supone un esfuerzo desproporcionado, se podrá optar por una comunicación pública.

La notificación debe contener:

  • Una descripción de la naturaleza de la violación.
  • Las posibles consecuencias.
  • Las medidas correctivas adoptadas o propuestas por el Responsable del tratamiento para remediar y mitigar los efectos ocasionados.
  • También debe incluirse el contacto del Delegado de Protección de Datos si lo hubiera, u otros contactos para obtener más información.

En Vento Abogados & Asesores con un servicio de protección de datos para asesorar a las empresas sobre el cumplimiento de la normativa de protección de datos personales y ayudarlas a gestionar una brecha de datos personales para evitar sanciones de gran cuantía y una crisis reputacional grave.

Le asesoramos sobre protección de datos

Autor

Últimas entradas

Facebook X-twitter Linkedin
Resumen de privacidad

Vento utiliza cookies propias y de terceros para fines analíticos y para mostrarle publicidad personalizada en base a un perfil elaborado a partir de sus hábitos de navegación (por ejemplo, páginas visitadas).  La aceptación de las cookies puede implicar una transferencia internacional de datos a Estados Unidos. Para más información puede consultar nuestra política de cookies. Puede aceptar todas las cookies pulsando el botón “Aceptar” o denegar su uso o configurarlas pulsando el botón “Denegar” o “Gestionar Cookies”.