Brechas de seguridad y RGPD: Novedades

Brechas de seguridad: ¿qué hacer?

Cualquier negocio que, en mayor o menor medida, haya iniciado o tenga pensado iniciar, su proceso de digitalización, puede ser víctima de un ataque informático.

Las webs, las apps o los ecommerce que los negocios gestionan, se encuentran, casi siempre, en servidores de terceros y por lo tanto por más pequeño que sea nuestro negocio, si el objetivo del ataque son los servidores de grandes empresas que alojan contenidos de sus clientes, nadie estamos exentos de poder ser víctima de un ataque. Estas grandes compañías suelen disponer de medidas para minimizar los riesgos pero nunca están 100% salvaguardadas, pero qué pasa si en este ataque se ponen en riesgo datos personales de nuestros clientes, trabajadores o de los receptores de nuestro Newletter …

¿Qué dice la normativa de protección de datos sobre las brechas de seguridad?

Hasta la entrada en vigor del RGPD (mayo de 2018), existía una obligación de controlar y registrar internamente cualquier incidencia que pudiera afectar a la seguridad de los datos personales. Había que identificar la incidencia, tomar pasos para minimizar o eliminarla y cerrar la incidencia de manera formal. Desde de 2018 esta obligación formal incluye dos pasos más:

  • Informar a la Agencia de Protección de Datos de la incidencia.
  • Informar a las personas afectadas.

Información a la AEPD

La AEPD ha publicado una extensa Guía sobre cómo gestionar las incidencias de seguridad. En esta Guía y la normativa vigente establece claramente la obligación de comunicar a la AEPD cualquier incidencia de seguridad en un plazo máximo de 72 horas. También se habilita un canal para hacerlo de manera telemática. La única excepción a la comunicación es cuando se pueda demostrar que la incidencia no genera ningún riesgo para las personas afectadas.

Entre los ejemplos que la AEPD mujer de no comunicación, es cuando los datos personales afectadas por la incidencia, ya eran públicas por algún otro canal, por lo que si no se da este supuesto, la comunicación será obligatoria.

Información a las personas afectadas

Cuando se determine un alto riesgo para las personas afectadas por la incidencia (por ejemplo robo de contraseñas), también se les deberá comunicar personalmente indicando además las medidas que pueden tomar para minimizar los riesgos (por ejemplo cambio inmediato de la contraseña).

Incidencies Seguridad Brecha Atque Informatico

Recomendaciones frente a las brechas de seguridad

Cualquier empresa o autónomo, puede ser objeto de una incidencia de seguridad (que no ha perdido un USB?), Por lo tanto es imprescindible disponer de unos mínimos para cumplir con esta obligación:

  • Que tu personal sepa qué es una incidencia y qué hacer si la conoce, así como una mínima información sobre técnicas de ataque más comunes (ingeniería social).
  • Asegurarse de disponer de las últimas versiones de anti-virus y anti-malware.
  • Actualizar el software de la empresa de manera regular.
  • Asegurarte que tus proveedores, te informarán si tienen conocimiento de una incidencia que afecte a los datos de tu negocio.

En resumen, aunque los negocios pequeños cada vez más ponen su negocio en manos de terceros (o precisamente por eso), esto no los libra de ser víctimas de ataques y en caso de serlo, de la obligación de cumplir con la normativa de protección de datos.

Víctor Roselló Mallol, abogado.

La legalidad de tu empresa,
en las mejores manos


692 14 05 71