5 pasos para responder legalmente a una brecha de seguridad
La prevención es cada vez más relevante en la empresa. Debemos saber cómo hacer frente legalmente a cualquier brecha de seguridad que pueda presentarse en nuestra organización.
La Agencia Española de Protección de Datos (de ahora en adelante AEPD) y la Asociación española para el fomento de la seguridad de la información (ISMS fórum Spain) han contribuido en la creación de la Guía para la gestión y notificación de brechas de seguridad con la colaboración del Centro Criptológico Nacional (CCN) y el Instituto Nacional de Seguridad (INCIBE).
La notificación de las brechas de seguridad a la autoridad de control es obligatoria y tiene carácter universal, es decir, es aplicable a TODOS aquellos responsables y encargados del tratamiento de datos de carácter personal, y ello, desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), pues, anteriormente, solo era obligatorio para operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza.
Esta medida más reforzada, es el resultado de la línea normativa que ha seguido el citado Reglamento basado en la proactividad de encargados y responsables del tratamiento, así como en lograr un balance entre la economía digital y el derecho fundamental de todos los interesados a que se garantice su tratamiento de datos de carácter personal de manera legal honesta y veraz.
El objetivo de esta Guía, por tanto, es el de orientar a las entidades que tratan con datos de carácter personal sobre como estar preparados, el análisis, el plan de actuación y la respuesta y notificación ante el organismo oportuno. Todo ello, teniendo en consideración que el objetivo de esta medida tiene un doble componente: el tecnológico con la implantación de las medidas de seguridad, y el legal en lo referente a la valoración de los riesgos para los derechos y libertades de las personas.
La Agencia recomienda elaborar un plan de actuación o un “procedimiento de respuesta a incidentes”, dividido en los siguientes pasos:
- Una primera detección o identificación en el que se deberán individualizar los distintos incidentes de seguridad, así como las herramientas y mecanismos de detección o sistemas de alerta. Esta primera fase es muy importante, ya que desde el primer momento en que se detecta la brecha, será necesario notificarlo a la autoridad competente en un plazo no superior a 72 horas.
- Un análisis de riesgo, y en caso de que sea necesaria, la evaluación de impacto, recabando información y clasificando el incidente de la manera más precisa posible.
- Una definición de los “planes de respuesta a incidentes”, que tienen como principal objetivo la erradicación de la situación de brecha de seguridad generada, estableciendo en un último momento las acciones de recuperación pertinentes.
- Una vez seguido el plan de actuación anteriormente descrito, el responsable del tratamiento deberá notificar a la autoridad competente sin dilaciones indebidas (plazo máximo de 72 horas) la brecha de seguridad detectada. No obstante, y después del procedimiento de actuación ya satisfecho será mucho más sencillo gestionar las violaciones de seguridad. La única excepción que contempla el RGPD para no efectuar dicha comunicación será que el responsable pruebe de manera fehaciente que no existe riesgo para los derechos y libertades de las personas físicas.
- Para finalizar la AEPD recomienda realizar determinadas tareas de seguimiento y cierre, que concluyen mediante la elaboración de un informe final que detalle los matices del proceso y en concreto de la brecha de seguridad, valorando el impacto final del mismo.