En los prolegómenos del año 2020, es evidente pensar que todas las empresas dondequiera que esté su establecimiento, sin realizar una distinción entre las pequeñas, medianas y grandes, tienen una alta probabilidad de sufrir una brecha de seguridad en cualquier momento. Teniendo en cuenta la firme innovación y mejora de nuevas tecnologías que son implementadas por las empresas junto con la gran cantidad de datos e información que manejan, tanto desde el punto de vista del volumen y continuidad de negocio como desde el tratamiento de datos de carácter personal, las brechas de seguridad son cada vez más comunes y nada ni nadie, sin excepciones, puede estar a salvo.
¿QUÉ SON LAS BRECHAS DE SEGURIDAD?
Podemos definir una brecha de seguridad como el incidente originado por descuido o negligencia de una persona humana , por el fallo cometido al hacer uso de algún dispositivo tecnológico o programa informático, o por el ciberataque sufrido que ocasione la pérdida o destrucción de datos de carácter personal. Es anecdótica y cambiante la terminología empleada según el ente u organismo ante el que nos encontremos. El término que recoge el Reglamento General de Protección de datos (RGPD) es el de “Violaciones de Seguridad” sin embargo la Agencia Española de Protección de Datos (AEPD) se ha decantado por nombrarlas como “Brechas”. Al introducirnos en el apartado de Preguntas Frecuentes de la página web de la propia AEPD, nos encontramos que las denomina como “Quiebras”.
¿QUÉ SE DEBE HACER?
Se debe ser diligente y actuar siguiendo un plan establecido redactado por escrito y que todo el personal con acceso a datos debe conocer, al que se puede nombrar como protocolo o plan de actuación que debe contener una serie de pautas para que toda empresa pueda tramitar de forma correcta y eficaz cualquier tipo de infracción, con unas mínimas salvaguardias, que en materia de protección de datos pueda llegar a ocurrir. Es muy importante la gestión de la brechas de seguridad para poder afrontarlas con plenitud de garantías y aplicar las medidas de seguridad tanto técnicas como organizativas que ayuden a paliar, reducir y mitigar los riesgos que han provocado.
¿CUÁNDO SE DEBE COMUNICAR?
No todas las Brechas de Seguridad han de ser comunicadas a la autoridad de control concerniente de un determinado país, en nuestro caso es la AEPD, ya que el factor fundamental es comprobar si se ha producido un riesgo por el que se han visto afectados los derechos y libertades de las personas. Dado que viene establecido en la normativa del RGPD, existe por tanto una obligación legal de realizar la notificación a la autoridad de control tan pronto como sea posible, con el límite de 72 horas. Además, si de la Brecha puede derivarse un alto riesgo para las personas implicadas, se deberá poner en su conocimiento y notificar expresamente a cada uno de los afectados.
¿CÓMO HACER LA COMUNICACIÓN?
La notificación debe establecer el origen que ha causado la Brecha de seguridad, clasificar los distintos incidentes y amenazas sufridas, conocer el perfil de los usuarios afectados, indicar el volumen y tipología de datos, su impacto, los plazos de actuación y las medidas adoptadas durante todo el proceso. La AEPD tiene habilitada en su página web, una sede electrónica para que todos los ciudadanos puedan comunicar directamente, a través de unos formularios, las Brechas de Seguridad. No hay que olvidar, que toda Brecha de seguridad necesita ser registrada y documentada, independientemente de si se ha notificado o no, para ello llevaremos a cabo un Registro Interno de Incidencias en el que contemple, se describa y se almacene toda la información relacionada con las Brechas.
¿QUÉ RIESGOS EXISTEN SI NO CUMPLO?
Si no se cumple en aquellos casos en los que exista obligación de comunicar a la AEPD y a los interesados la Brecha de Seguridad, la empresa se encuentra en una situación grave de sufrir una sanción económica aparejado al daño reputacional que ello puede conllevar. En este sentido, los propios afectados tendrían la posibilidad de acudir a la justicia ordinaria para reclamar una indemnización por daños y perjuicios ocasionados. Salta a la vista, que no es un tema baladí, el cual debemos tener muy presente en las actividades cotidianas de la empresa.
INFORME SOBRE NOTIFICACIONES DE BRECHAS DE SEGURIDAD DE AGOSTO DE 2019
La Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos (AEPD) ha publicado un Informe en Septiembre de 2019 sobre las Notificaciones recibidas en materia de Brechas de Seguridad que abarca el último año desde Agosto de 2018 a Agosto 2019.
La gran mayoría de ellas se han realizado por la sede electrónica de la AEPD, siendo sin duda el canal prioritario utilizado para realizar la Notificación. Como hecho a destacar, el 80% de todas estas comunicaciones pertenecen a organizaciones privadas, siendo la Confidencialidad la tipología de Brecha que más han recibido.
En cuanto a los medios de materialización, lo más habitual han sido pérdidas o robos de dispositivos. El Hacking y el Malware le siguen de cerca y su crecimiento se prevé exponencial en los próximos meses. También aparecen en lo más alto del listado, los Datos personales enviados erróneamente y la documentación que ha sido perdida o robada.
En cuanto a las categorías especiales de datos, observamos que los que no tienen ningún tipo de comparación son los datos de salud ya que es la causa del 90% de las notificaciones.
Por último, en cuanto a los perfiles de los afectados, copán en lo más alto de la tabla los clientes, seguidos de los empleados y los usuarios.
Como información adicional, indicamos que en la Comunidad de Madrid es el territorio que mayor número de notificaciones ha presentado a la AEPD, seguido de Cataluña. Un apunte de curiosidad es el que indica que Francia es el país con más implicaciones transfronterizas en lo que a Notificaciones con afectados se refiere.
