Una de las novedades más importantes a mi juicio que contiene el Reglamento Europeo de Protección de Datos radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados.
Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.
La obligación que con la LOPD solo afectaba a las empresas de telecomunicaciones y a los proveedores de acceso a Internet o ISP, con el Reglamento general europeo de protección de datos se va a ampliar a cualquier responsable del tratamiento, no ya solo las empresas del sector de las comunicaciones electrónicas.
Se debe informar tanto a la Agencia de Protección de datos como al afectado si esta brecha afecta negativamente a la protección de los datos personales o a la privacidad del interesado.
Notificación al afectado
Se debe notificar al afectado si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un cliente o particular.
En este caso deberá informar de las posibles consecuencias de la violación para el particular, especialmente, si puede conllevar fraude o usurpación de su identidad, daños físicos, sufrimiento psicológico humillación o perjuicio reputacional.
También se debe informar de las propias circunstancias en que se haya producido la violación de datos personales sobre las medidas tendentes a atenuar los posibles efectos.
La comunicación al afectado se realizará por vías de comunicación que garanticen una “pronta recepción de la información y sean seguras con arreglo al estado actual de la técnica”.
Cuando no será obligatoria la notificación a los afectados
- Cuando la intrusión y la violación de datos no pueda afectar negativamente a los datos personales o a la intimidad del particular.
- Cuando los datos extraídos estén debidamente cifrados y sean incomprensibles y, consecuentemente, la intrusión y la violación de datos no pueda afectar negativamente a los datos personales o a la intimidad del particular.
Notificación a la autoridad de control
La notificación a la autoridad de control (en el caso español la Agencia Española de Protección de Datos) será obligatoria respecto a determinadas categorías de datos, como los relativos a infracciones penales o cuentas bancarias.
La comunicación a la agencia española de una violación de datos personales debe estar documentado e incluir:
- Número de interesados afectados.
- Tipos y categorías de datos.
- Descripción Datos de contacto del delegado (DPO)
- Efectos y consecuencias de la brecha.
- Medidas tendentes a atenuar los posibles efectos y medidas adoptadas.
¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?
Si la brecha se produce por parte del encargado del tratamiento, este deberá alertar e informar al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.
Retos que plantea a las empresas la comunicación de brechas
La obligada comunicación de brechas en caso de producirse obliga a las empresas a incorporar procedimientos que permitan:
- Documentar adecuadamente este tipo de incidencias.
- Definir un plan de comunicación de brechas, tanto para los afectados como para la autoridad de control, definiendo competencias, tiempos de ejecución y modelo de comunicación para cada caso.
- Contar con un plan de contingencias que permita subsanarlas en el menor tiempo posible, minimizar el impacto y reforzar la seguridad interna.
Otro reto radica en la implantación de medidas de seguridad adecuadas, incluidos los sistemas de detección y análisis de intrusiones necesarios que permiten proteger los datos de los particulares y la información privada de la empresa, establecer mecanismos de prevención de ataques informáticos y fundamentalmente, evitar estas brechas de seguridad que requieran notificación a la agencia y los afectados.
Ante las obligaciones legales de notificar y denunciar (con el consiguiente daño reputacional y de credibilidad), una adecuada implementación de medidas de seguridad acompañada de procesos de concienciación y formación a empleados, análisis y control continuo, constituyen sin duda la mejor defensa.
Buenas tardes.
El factor fundamental aquí será la identificación por parte de los usuarios de esas brechas de seguridad. Esta claro que si en un ataque, han entrado hasta la cocina, arrasado servidores y publicado información, pues cualquiera podrá ser consciente de esa brecha.
¿Pero que ocurrirá cuando el ataque sea mucho más sutil? Un correo que de repente desaparece y lo achacamos a un error nuestro; un fichero que no está donde debiera pero le podemos “echar la culpa” a otro usuario de dejarlo donde no toca; un usb que se conecta para cargar música y escucharla en la oficina, que resulta tenía un virus y el usuario no lo sabía, etc.
Los ataques e incidencias no son siempre evidentes y los usuarios no tienen porqué darse cuenta de ello. Pensemos un momento en el siguiente escenario: una gestoría que envía las nóminas por email a la empresa y resulta que la persona encargada de enviarlas, las remite por error no al responsable de RRHH (por ej), sino a otro contacto del departamento. La cosa generalmente se salda con un “uy, me he equivocado, te lo vuelvo a mandar” y ahí acaba todo.
El cambiar ese “uy, me he equivocado” por un procedimiento para dirimir responsabilidades, cuesta mucho.
Saludos desde Gandia.
Me cuesta ver como se aplicará esto por parte de las empresas y organismos. Veo que falta mucho criterio y que los directivos y responsables eluden constantemente las responsabilidades. Todos los días intento explicar a mis potenciales clientes lo importante que es cuidarse de que el papel que se genera cada día sea tratado de una manera confidencial para evitar que este a disposición de cualquiera y así evitar escándalos o sanciones. La realidad es que la gran parte de la documentación con datos confidenciales en España se va directamente a los recicladores para que la destruyan sin importar quien tenga acceso a esos papeles.
No existe conciencia de lo importante que es la cadena de custodia y la correcta gestión de la documentación. Solo importa justificarse y reducir costes, sin importar la seguridad. Por eso me es difícil imaginar como se comunicará una brecha de seguridad si quien debe valorarlo es un “kamikaze”
No estoy de acuerdo con la opinión que se quiera eludir las responsabilidades, a menudo lo que ocurre es que, como apunta José Manuel, lo difícil es identificar las brechas de seguridad a partir de los usuarios, que es lo más normal que ocurra. Los directivos, socios… no pueden llegar a todo y ellos son los primeros que desean que no exista ninguna brecha de seguridad.
Desde mi humilde opoinión, para tener que soportar una responsabiidad ajena tipo “uy, me he equivocado!!” sería positivo plantearse un buen programa de compliance.
Saludos desde Barcelona.