¡Socorro! ¡Hemos detectado una brecha de seguridad!

Clientes, proveedores, trabajadores, videovigilancia… los datos están por todas partes,  imprescindibles para el día a día de cualquier compañía.

Todo tratamiento de datos entraña cierto nivel de riesgo. Todos los días, alrededor del mundo se producen millones de brechas de seguridad. No podemos cometer el error de pensar que a nosotros nunca nos va a pasar, o que los datos que manejamos no merecen protección.

1. Pero… ¿Qué es una brecha de seguridad?

El propio Reglamento General de Protección de Datos (RGPD) las define como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

El RGPD habla de “violaciones” de seguridad. Sin embargo, la Agencia Española de Protección de Datos prefiere el término “brechas”, según explica en su “Guía para Gestión y Notificación de Brechas de seguridad”.

2. ¿Qué dice el RGPD? ¿Y la normativa anterior?

Desde el 25 de mayo de 2018 es aplicable el Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; más conocido como Reglamento General de Protección de Datos (RGPD).

Esta normativa obliga a las empresas a notificar la violación de la seguridad de los datos personales a la autoridad de control competente tan pronto como tengan conocimiento de que se ha producido, y a más tardar en un plazo de 72 horas; salvo que pueda demostrarse, atendiendo a su responsabilidad proactiva, que no existe riesgo para los derechos y libertades de las personas.

La obligación de notificar las brechas de seguridad no es nueva. Ya venía introducida por la Ley General de Telecomunicaciones (Ley 9/2014, de 9 de mayo), pero únicamente referida a operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza. También se refería a ella el Reglamento de Desarrollo de la LOPD en relación a la obligación de incluir en el Documento de Seguridad un mecanismo para la gestión de incidencias.

Con el nuevo Reglamento se amplían los supuestos en que es obligatoria esta comunicación, extendiéndose a todos los responsables de tratamiento de datos de carácter personal, siempre que puedan verse afectados los derechos y libertades de las personas.

Además, si de la quiebra de seguridad pudiera derivarse un alto riesgo para los interesados, también habrá que comunicárselo a éstos, para que puedan tomar al respecto las medidas oportunas.

3. Cómo actuar si se produce una brecha

Importante contar con un plan de acción previamente establecido. En primer lugar, diseñaremos un procedimiento para la detección de incidencias. Podemos disponer de sistemas de alertas, programas informáticos especializados, revisiones periódicas de los sistemas… Para ello pueden sernos muy útiles los recursos que ofrecen organismos como INCIBE.

Cualquier brecha de seguridad debe ser registrada y documentada. Llevaremos un registro de incidencias, que contenga la información sobre el suceso en cuestión. Tendremos en cuenta el tipo de amenaza, su contexto, categorías y tipos de afectados y las consecuencias que hayan podido derivarse del mismo.

Además, siempre que la misma haya podido afectar a los derechos y libertades de los interesados, debemos proceder a notificarla a la autoridad de control competente (en España la Agencia Española de Protección de Datos, AEPD), tan pronto como nos sea posible, y en todo caso, en un plazo máximo de 72 horas desde que tuvimos conocimiento de la misma. El art. 33 del RGPD regula el procedimiento para la notificación de brechas de seguridad

La AEPD mantiene habilitado un mecanismo electrónico para la notificación al que puede accederse a través del siguiente enlace: https://sedeagpd.gob.es/sede-electronica-web/

Si de la brecha de seguridad se derivaran perjuicios graves para los interesados, también habrá que comunicarles a estos la incidencia en el plazo máximo de 72 horas, para que puedan tomar las medidas oportunas.

De forma paralela debemos proceder a dar respuesta al incidente. Para ello, una vez más, es recomendable tener preparado de antemano un plan de actuación. En estos momentos de tensión debemos mantener la calma y actuar según el esquema que previamente hayamos diseñado para este tipo de situaciones. La respuesta dependerá mucho de la categoría de incidencia a la que nos enfrentemos, pero siempre trataremos de contener la situación evitando que el mal se expanda y agrave y, posteriormente, poner remedio al mismo tratando de garantizar la continuidad del negocio minimizando el riesgo para los derechos y libertades de los interesados.

Una vez solventado el problema, debemos realizar un seguimiento del mismo, a fin de evitar que la misma situación pueda volver a producirse en el futuro.

4. ¿Qué pasa si no cumplo?

La protección de datos de carácter personal es un derecho fundamental y como tal está especialmente protegido.

Como señala el Considerando 85 del RGPD, una violación de la seguridad de los datos de carácter personal puede “suponer daños y perjuicios  físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la pseudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión”

La Agencia Española de Protección de Datos ha manifestado reiteradamente que el hecho de notificar una brecha de seguridad no tiene por qué suponer el inicio de un procedimiento sancionador para la compañía ni mucho menos culminar con una sanción.

Habrá que determinar el nivel de responsabilidad de la misma y si ésta había tomado todas las medidas oportunas para evitar el incidente, siguiendo con el principio de responsabilidad proactiva que recoge el RGPD. También habrá que tener en cuenta si se ha producido la efectiva lesión a los derechos y libertades de los interesados.

Tampoco podemos olvidar que cualquier brecha de seguridad puede suponer un daño reputacional a la compañía más grave aún que cualquier sanción que se le llegue a imponer, por lo que más vale prevenir que curar.

Con respecto a los daños y perjuicios que el interesado haya podido sufrir, el artículo 82 del RGPD señala que “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”, salvo que puedan demostrar que han cumplido fielmente con sus obligaciones. Dicha indemnización tendrá que ser solicitada ante la jurisdicción ordinaria.

5. En conclusión

Vivimos en un mundo hiperconectado en el que el tráfico de datos se ha convertido en moneda de cambio habitual, por lo que establecer las medidas oportunas para evitar los fallos de seguridad, así como los mecanismos de respuesta rápida para su correcta gestión en caso de producirse, debe ser una prioridad en el contexto empresarial.

Con una buena planificación, el asesoramiento adecuado y la correcta gestión, podremos minimizar las consecuencias de un problema que, tarde o temprano, toda empresa está destinada a padecer.

Marián Rojo Setién 

Abogada especializada en Tecnologías de la Información y de la Comunicación. Responsable del área de Protección de Datos en Letradox Abogados.

Página web: www.letradox.com

@marian_rs

@letradoxabogado

Facebook: https://www.facebook.com/letradox/

LinkedIn: https://www.linkedin.com/in/maria-de-los-angeles-rojo-seti%C3%A9n-b1284145/

                https://www.linkedin.com/company/letradox-abogados/