Con la entrada de la nueva Ley de Protección de Datos, se habla constantemente de medidas de seguridad y del nuevo concepto de Brechas de Seguridad, pero realmente la definición de brecha de seguridad es muy amplia.
¿Que es una brecha de seguridad?
Por establecer una base, el término de brecha de seguridad se define en el art.4.12 del RGPD, como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, la conservación o tratamiento de forma ilícita, así como la comunicación o el acceso no autorizado a los datos, para que sea tenida en cuenta como brecha de seguridad, debe afectar a datos de carácter personal.
Ejemplos prácticos de brechas de seguridad
Un ejemplo puede ser cuando se realiza una modificación de una base de datos sin permiso del administrador, una pérdida parcial o total de la misma o la destrucción de copias de seguridad. Aunque no sólo debemos centrarnos en el entorno técnico ya que el perder un smartphone con una considerable cantidad de datos de los clientes de una empresa también se podría catalogar como brecha de seguridad.
Estos acontecimientos deben ser tratados con gran cuidado ya que como indica el propio reglamente, no sólo suponen un perjuicio para la empresa sino también para los titulares de los datos de carácter personal afectados debido a las consecuencias que pueden sufrir en función de en qué manos caen los datos.
¿Que diferencias hay entre brecha de seguridad y el registro de incidencias ?
Pero todo esto que hemos contado no supone una gran diferencia respecto al registro de incidencias que nos obligaba a llevar la LOPD desde siempre. La gran novedad, es que deberemos notificar estas brechas a la Agencia Española de Protección de Datos (www.aepd.es) en un plazo máximo de 72 horas.
¿Qué han de tener en cuenta el responsable y encargado del tratamiento ante una brecha de seguridad?
Dejando a un lado el tamaño de la entidad y de la gravedad y consecuencias del incidente, el responsable y encargado del tratamiento lo tienen que dejar documentado en el registro de incidencias, incluyendo entre otros datos, los hechos relacionados con el incidente, sus efectos y las medidas correctivas que se han adoptado. Así, por ejemplo, la pérdida de un ordenador portátil, el acceso de un empleado no autorizado a la base de datos y su borrado, el envío de un email a un destinatario incorrecto, constituyen todas brechas de seguridad que deben documentarse. Este documento lo pondremos a disposición de la autoridad de control, cuando ésta nos lo requiera, y verificar así, que cumplimos con lo dispuesto en la norma.
Aunque tenemos la posibilidad de ampliar el plazo si no se ha conseguido recabar la suficiente información con relación a cómo se produjo dicha brecha ya que como comentamos en el párrafo anterior, uno de los puntos que también tenemos que notificar son las medidas que hemos llevado a cabo para subsanarla o mitigarla, incluyendo la comunicación a los afectados en los casos en los que se puedan ver afectados de manera directa por la filtración de los datos. Por ejemplo, cuando se realiza un robo de usuarios y contraseñas en una base de datos y se debe informar a los usuarios para que realicen un cambio de contraseñas y así evitar el acceso no autorizado a sus cuentas.
En las siguientes noticias continuaremos hablando sobre cómo y cuándo se deben notificar las incidencias en materia de protección de datos que lleguen a la categoría de brechas de seguridad.
