Cómo actuar ante una brecha de seguridad

 

El Reglamento Europeo de Protección de Datos establece que es obligatorio notificar los incidentes que afecten a los datos personales y puedan suponer un riesgo para los derechos y libertades de las personas físicas.

Pero, ¿a qué llamamos “brecha de seguridad”?

De un modo amplio se define como “las violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o lícita de los datos personales”, por lo que lo primero que debemos delimitar en nuestra empresa sería cuáles de los tratamientos de datos que podemos realizar estarían expuestos a un riesgo para los derechos y libertades de los afectados en caso de ser atacados, realizando un análisis de riesgos y, en su caso, una evaluación del impacto de estos riesgos en nuestros sistemas.

Si tenemos la mala fortuna de recibir un ataque que genere una brecha de seguridad deberíamos actuar de la siguiente manera:

  • Análisis: es necesario analizar cómo se ha producido el ataque, evaluar el riesgo para los datos personales de los afectados, realizar las acciones inmediatas de contención y registrar el incidente.
  • Respuesta: una vez que se ha contenido el ataque, es hora de realizar la notificación del hecho a los afectados y a la Agencia de Protección de Datos Española (AEPD). Esta respuesta debe incluir como mínimo los siguientes datos:
    • Información acerca de la mitigación del riesgo
    • Mejoras tecnológicas adoptadas
    • Cambios en la gestión de incidentes
    • Actualización de procedimientos
  • Cierre: Determinar las conclusiones y las oportunidades de mejora para mitigar futuros incidentes.

En caso de no llevar a cabo el procedimiento de comunicación de datos a la AEPD podríamos ser objeto de importantes sanciones por lo que estos aspectos deberian ser considerados como puntos importantes al planificar el ciclo de vida de los datos personales en nuestra empresa.

Autor: A. Amo.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PROTECCIÓN DE DATOS CÓRDOBA - GRUPO LEGITEC moderará sus comentarios. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico cordoba@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.