¿Qué son? ¿Cuándo se producen? ¿Cuándo debo comunicarlas? Estas son las preguntas que nos suscita el concepto de brechas de seguridad que la normativa introdujo en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (de ahora en adelante RGPD).
¿Qué son?
EL RGPD nos define en su articulo 4 la violación de seguridad como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Es importante que se tomen a tiempo medidas adecuadas ya que las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión (Considerando 85 RGPD).
¿Cuándo se producen?
Los escenarios habituales de brechas de seguridad los podemos conocer a través del Informe de Notificaciones de Brechas de seguridad con fecha marzo 2019, publicado por la AEPD, en el que se establecen datos en relación a comunicaciones de brechas de seguridad y cuáles son las situaciones más habituales. Sólo en marzo de 2019 se han recibido por parte de la AEPD 113 notificaciones y la brecha con mayor volumen de afectación es de 40 millones de personas, pero el mayor número de comunicaciones es relativo a afectaciones de entre 0 a 99 afectados.
Las comunicaciones más habituales son por:
– ataques de hacking, seguidos por
– robo o pérdida de dispositivos
– malware
– robo o pérdida de documentación
– datos personales enviados
En abundantes comunicaciones la afectación era sobre datos de categorías especiales, sobre todo de salud.
¿Cuándo debo comunicarlas?
Cuando nos sucede la brecha de seguridad hay que proceder al análisis de la misma para determinar si se trata de una brecha de confidencialidad, integridad o disponibilidad, su categoría y número de afectados, con el fin de poder evaluar el nivel de perjuicio que puede causar el incidente a los derechos y libertades de los afectados. Una vez que ya se ha identificado y determinado la brecha de seguridad, se pone en marcha el plan de respuesta. Por regla general, las primeras medidas que se realizan son de contención, para así poder tratar de limitar lo máximo posible los daños del incidente.
Erradicado el incidente, se inicia la fase de recuperación. Esta fase tiene como objetivo el restablecimiento del servicio a la normalidad, confirmando así el funcionamiento normal y evitando que sucedan nuevos incidentes basados en la misma causa. Una vez finalizado el procedimiento, se tiene que elaborar un informe de respuesta en el que conste todo el procedimiento seguido y la realización de un análisis que permita extraer conclusiones y lecciones aprendidas.
A la hora de decidir si se ha de notificar un determinado incidente de seguridad, hay que tener en cuenta el potencial daño para los datos de los interesados, el volumen de datos personales afectados y verificar si los datos afectados se encuadran dentro de los especialmente sensibles.
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente. Si dicha notificación no es posible en el plazo indicado, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse la información por fases.
Por tanto:
1. Valorar el riesgo
2. Evaluar si hay daños materiales o inmateriales
3. Calcular el alcance
4. Si hay altor riesgo o gran impacto
5. Comunicar a la AEPD
Excepciones del procedimiento de comunicación de la brecha
Si el responsable puede demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas no será necesario que esta brecha se seguridad sea comunicada a los interesados. El responsable deberá analizar subjetivamente el supuesto concreto y determinar el improbable riesgo.
La notificación a los interesados no será necesaria cuando:
- El responsable hubiera adoptado medidas de protección técnicas y organizativas apropiadas antes de la violación de seguridad, de modo que estas medidas hagan ininteligibles los datos para terceros, como sería el cifrado.
- Cuando el responsable haya tomado medidas con posterioridad al incidente que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.