¿Cómo actuar ante una brecha de seguridad?

Escrito por Lara Rebon Gelpi

Es posible que si estás leyendo esto sea porque sabes lo importante que es la protección de datos en cualquier empresa que gestiona datos de carácter personal. Sin embargo, ¿qué pasa si en tu empresa se produce una brecha de seguridad? ¿Sabes cómo actuar? ¿Ha ocurrido porque no contabas con los medios necesarios para impedirlo? Son muchas las dudas que surgen al respecto. 

En primer lugar, hay algo que debes tener muy claro: si no cuentas con personal con los conocimientos necesarios para garantizar la seguridad de los datos, contrata los servicios de una empresa de protección de datos que asegure el cumplimiento de la RGPD. En Pdatos somos especialistas en el sector, proporcionándote las mejores medidas de seguridad en materia de protección de datos para que tu negocio no sufra ninguna brecha de seguridad. Ponte en contacto con nosotros, nuestros expertos te proporcionarán el mejor asesoramiento posible, recomendándote el mejor plan, adaptado a las necesidades de tu empresa. 

Pero… ¿Qué pasa si el ataque viene de fuera de la compañía? ¿Y si no se puede evitar? Salgamos de dudas y veamos cómo actuar en cada caso contra una brecha de seguridad.

¿Qué es una brecha de seguridad?

Para entender y conocer la mejor manera de actuar en el caso de que se produzca una brecha de seguridad, es necesario conocer qué es y los tipos qué existen. Hablar de una brecha de seguridad es hablar de un incidente de seguridad que afecta a los datos de carácter personal gestionados y almacenados por una empresa. 

Si nos fijamos en el artículo 4.12 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD) establece que la brecha de seguridad es “la violación de seguridad (...) que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”. 

Este problema lleva asociada la destrucción, modificación, pérdida o acceso de personas no autorizadas a dichos datos personales. De hecho, las brechas de seguridad suponen vulneraciones de derechos, perjuicios de reputación, discriminación y hasta pérdidas financieras. Es por ello por lo que es muy importante valorar el nivel de gravedad de los datos sustraídos.

3 tipos de brechas de seguridad

Según la Agencia Española de Protección de Datos (AEPD), existen 3 tipos de brechas de seguridad:

  • Brecha de confidencialidad: Se produce cuando la personas o personas que acceden a los datos personales no tienen permiso para ello o lo hacen sin un fin legítimo.

  • Brecha de integridad: Se produce cuando se alteran los datos.

  • Brecha de disponibilidad: Se produce cuando no se puede acceder a los datos originales. Se pueden dar 2 situaciones diferentes:

    • Brecha de disponibilidad temporal: Se da cuando se pueden recuperar los datos.

    • Brecha de disponibilidad permanente: Se da cuando los datos no pueden recuperarse.

Características de una brecha de seguridad

Son muchos los rasgos que definen a una brecha de seguridad en función de dónde se haya originado, cómo se haya producido, quién sea el responsable y a cuántos datos y personas haya afectado. Siempre es recomendable recabar esta información previa actuación para determinar la forma más óptima posible de proceder:

  • Origen de la brecha:

    • Interno/Externo

    • Accidental/Intencional

  • Según el medio:

    • Online, como el robo cibernético, ransonware (programa dañino), fraude informático como pishing, publicación de datos personales…

    • Offline, como el robo de un dispositivo que almacena información, acceso de una persona no autorizada a los datos…

  • Tipos de datos:

    • De menor confidencialidad, como pueden ser los datos de contacto.

    • De mayor confidencialidad, como pueden ser los datos de salud.

  • Volumen:

    • Número de datos afectados 

    • Números de personas afectadas

  • Afectados:

    • Clientes

    • Empleados

    • Proveedores

    • Estudiantes

    • Pacientes

    • Colectivos vulnerables

¿Cómo actuar ante una brecha de seguridad?

El responsable de tratamiento debe recabar la información anteriormente mencionada para conocer al 100% todos los datos relacionados con la brecha de seguridad. Asimismo, debe establecer qué y quién debe llevar a cabo las acciones para solucionar el problema. De esta manera, el responsable debe iniciar el plan de actuación, implementando las medidas que resuelvan la brecha de seguridad

El responsable debe, una vez aprendido de lo sucedido, garantizar que no vuelva a suceder en el futuro. La mejor forma de hacerlo es creando un registro de brechas de seguridad en el que se recoja todo lo ocurrido, incluyendo las medidas tomadas y los motivos por los cuales se han llevado a cabo. En el caso de que la AEPD lo solicite, las empresas están obligadas por ley a presentar dicho documento.

Comunicación a la AEPD y los afectados

Cuando la brecha de seguridad suponga o haya producido una violación de los derechos y libertades de las personas afectadas, el responsable del tratamiento debe comunicar dicha brecha tanto a la Agencia Española de Protección de Datos (AEPD) como a los dueños de los datos afectados en un plazo máximo de 72 horas desde que se tiene constancia de la brecha de seguridad.

El modus operandi con los afectados será el habitual en estos casos. Es importante establecer la comunicación por el medio utilizado normalmente para comunicarse con ellos. Debe hacerse de manera fácil para ellos y utilizando un lenguaje sencillo que les permita comprender la situación con claridad. Este comunicado deberá recoger los siguientes datos:

  • Explicación de lo sucedido.

  • Medidas tomadas para subsanar la brecha de seguridad.

Tomarse en serio la protección de datos no es una broma, es una obligación que cada vez cobrará más y más importancia, especialmente en la era digitalizada en la que vivimos y en la que cada vez con más las personas y organizaciones que, de manera fraudulenta, intentan robar datos de terceros sin su permiso. 

El primer paso en el mundo digital de cualquier empresa es crear una página web. ¿Cumple con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales? Si la respuesta no es un sí rotundo, puede que la AEPD te sancione próximamente. Antes de nada, debes contar con los textos legales, un pilar básico en materia de protección de datos. ¿No sabes cómo?

No te pierdas nuestro post de cómo adaptar una empresa a la protección de datos.

En Pdatos te ofrecemos este y otros servicios. Somos una empresa con profesionales de más de 13 años de experiencia en el sector y contamos con más de 1.600 clientes. ¡No dudes en poner a tu empresa al día en materia de protección de datos!

Lara Rebon Gelpi
Anterior

Sancionan al Hospital Campo Grande con una multa de 10.000€ 
Siguiente

RTVE, sancionada por la pérdida de datos de empleados