Definición brecha de seguridad
Las brechas de seguridad suponen un incidente relacionado con la información que implica una fuga o ataque a los datos de carácter personal que dispone una empresa. Tal brecha puede producir daños a los derechos de las personas que son objeto de tratamiento y además llegar a ser un importante daño reputacional a la marca de la empresa afectada.
Por ello, y para una correcta planificación de las brechas de seguridad, se encuentra publicada en el sitio web de la AEPD la Guía para la Gestión y Notificación de Brechas de Datos Personales (actualiza la versión de junio de 2018) en donde se han actualizado los procesos y medios de notificación en el contexto de una brecha de seguridad.
Dicho documento supone una importante ayuda para facilitar la labor a los responsables de tratamiento de datos personales a la hora de gestionar y trasladar información de brechas a las autoridades de control o usuarios afectados.
Con la actualización de la Guía, las novedades se centran en la protección de los derechos de los interesados, mejorar el control y garantía de que los tratamientos hayan sido tratados con diligencia, mejorar el procedimiento de notificación de las brechas y qué contenido incluir en las comunicaciones con los usuarios afectados.
RGPD Modelo protocolo actuación ante brechas de seguridad
Cuando una empresa realiza una adaptación a la normativa de protección de datos es importante incluir un protocolo de actuación que permita guiar al personal ante la aparición de una brecha de seguridad. En líneas generales este protocolo implica que hay que conocer las medidas de seguridad que la empresa tiene instaladas de cara a saber el nivel de seguridad con el que se dispone, determinar su capacidad de actuación y respuesta ante las vulnerabilidades, desarrollar procesos de detección de acceso a datos por parte de terceros además de disponer de la capacidad de medir el impacto de la violación de seguridad (datos personales afectados y su fuga)
Formulario notificación brechas de seguridad AEPD
Cuando nos encontremos ante una brecha de seguridad no solo deberemos aplicar un protocolo de actuación de cara a conocer las causas, aplicar soluciones o frenar el problema sino que conforme al artículo 33 del RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha se deberá notificar a la Autoridad de Control competente (en este caso la Agencia Española de Protección de Datos) en el plazo de las 72 horas siguientes al conocimiento de los hechos.
Para ello, la AEPD dispone de un formulario de notificaciones para trasladar tal información: https://sedeagpd.gob.es/sede-electronica-web/
El lenguaje para trasladar la notificación deberá ser sencillo y será recomendable aportar la documentación relacionada con la brecha de seguridad de cara a un conocimiento más detallado.
Forma de documentar brechas de seguridad
Con independencia de la necesidad de notificar a la Autoridad de Control sobre una brecha de datos personales, el artículo 33.5 del RGPD establece la obligación del responsable de tratamiento de documentar cualquier brecha, incluidos los hechos relacionados con la brecha, sus efectos y las medidas correctivas y de contención adoptadas.
Una vez detectada la brecha de seguridad es importante seguir un protocolo de actuación interno de cara conocer el origen de la misma y aplicar las medidas que permitan contenerla o resolverla. Todo ello deberá ser documentado por el responsable de tratamiento el cual deberá elaborar un informe en donde se incluyan las decisiones tomadas y recogerse de forma detallada las causas y soluciones aplicadas. La AEPD no dispone un modelo estándar para realizar la documentación de la brecha de seguridad, pero al final es importante que siga la estructura de origen, medidas aplicadas y comunicaciones realizadas a los afectados. Por seguir un índice lógico habría que tener en cuenta:
- En primer lugar una descripción de la brecha de seguridad detallando los datos personales que han sido afectados y su volumen.
- Calcular las consecuencias que habría ocasionado la brecha de seguridad.
- Enumerar las medidas aplicadas para solucionar la violación de seguridad.
- Determinar las comunicaciones realizadas por los canales de comunicación de la empresa, así como los usuarios que han sido contactados.
Brecha de seguridad en Whatsapp
Es cada vez más común ver como grandes empresas de servicios sufren importantes de brechas de seguridad que ponen en riesgo los datos de sus usuarios. Uno de los casos más relevantes han sido las brechas de seguridad de Whatsapp por las que vieron como los datos de sus usuarios fueron filtrados en el buscador de Google.
Uno de los problemas que surgieron es que Whatsapp no monitoreaba los datos que se estaban filtrando en el buscador de Google por lo que hasta que no se encontrasen por alguien la compañía no sabría si estaban o no filtrados en la red. Siendo complicado no solo recuperar el estado inicial sino del daño reputacional sufrido dejando en evidencia la calidad de las medidas y la lenta e ineficaz respuesta de soluciones.
En Type of Legal ofrecemos asesoramiento para la adaptación de empresas a la normativa de protección de datos y el desarrollo de protocolos de actuación antes brechas de seguridad.