La Agencia Española de Protección de Datos (AEPD) ha lanzado la 'Guía para la gestión y notificación de brechas de seguridad' para ofrecer a las organizaciones recomendaciones preventivas y un plan de actuación sobre cómo evitarlas y cómo proceder en caso de que se produzcan.
La Agencia ha presentado esta herramienta, junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE, en un acto que ha tenido lugar este martes 19 de junio en la sede del organismo estatal en Madrid.
Si la brecha provoca el acceso ilícito a usuarios y contraseñas de un servicio, la empresa debe comunicarlo a los afectados con "lenguaje claro y sencillo y de forma concisa y transparente"
La AEPD ha recordado que el Reglamento General de Protección de Datos (RGPD) -de obligado cumplimiento desde el pasado 25 de mayo- define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.
En este sentido, ha apuntado que antes de la llegada del RGPD la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Sin embargo, desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que "subraya la importancia de que todas las entidades conozcan cómo gestionarlas", según la AEPD.
Así, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo "sin dilación" a la autoridad de control competente, y "a más tardar en las 72 horas" siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
De esta forma, si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, la Agencia ha destacado que el responsable del tratamiento debe también comunicar a los afectados la brecha de seguridad con "lenguaje claro y sencillo y de forma concisa y transparente".
INFORMACIÓN ÚTIL Y PRECISA
La 'Guía para la gestión y notificación de brechas de seguridad' se dirige a responsables de tratamientos de datos personales para facilitar la aplicación del RGPD sobre la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal "adecuado, contenga información útil y precisa".
Según ha informado la Agencia, para elaborar el documento se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.
El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.
Por último, la AEPD ha aclarado que la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.