Brechas de seguridad y RGPD: Novedades

20 de noviembre de 2020

La gestión de las brechas de seguridad, es sin duda alguna de las novedades más importantes del RGPD. Hace un año ya publicábamos un post donde explicábamos qué hacer en caso de que se produjeran en tu empresa o startup, pero ciertamente la realidad de este último año requiere una actualización del contenido.

¿Qué hacer ante una brecha de seguridad?

Las obligaciones básicas ante cualquier brecha de seguridad, de acuerdo al RGPD y tal y como recomendábamos en Noviembre de 2019, son tres:

Registrar y gestionar internamente la brecha de seguridad. Esto requiere disponer de un protocolo interno a fin que las brechas de seguridad sean comunicadas a las personas responsables y éstas documenten qué pasos se han seguido a fin de minimizar su impacto. Este último punto es muy importante porque algunas veces las empresas no tienen una capacidad real y efectiva para evitar un ataque o una brecha de seguridad, pero sí para decidir cómo responden ante ella. Este es un factor que la AEPD valora mucho en el caso de que la brecha acabe en un procedimiento sancionador.
Analizar si la brecha debe ser comunicada a la AEPD. Esta es una de las novedades importantes del RGPD y es que se introduce la obligación de comunicar las brechas a la AEPD; la única excepción es que sea improbable que esta brecha produzca riesgos para las personas afectadas (por ejemplo si puede demostrarse que los datos están encriptados). En el resto de casos la comunicación es obligatoria en un plazo de 72 horas desde que se tuvo conocimiento de la incidencia. Este no es un factor cualquiera por qué muchas veces las empresas conocen la incidencia incluso meses después de que se haya producido.
Analizar si es preciso comunicar la brecha a las personas afectadas. En los casos más graves (robo de credenciales o brechas que puedan implicar suplantación de identidad) se requiere la comunicación a los afectados.

En relación a estos dos últimos e importantes puntos, añadimos aquí una novedad importante y es la reciente publicación por parte de la AEPD de un cuestionario que permite decidir si es necesaria la comunicación a la propia AEPD y a los afectados. Respondiendo unas breves preguntas podrás tener una orientación de cómo actuar.

¿Hay sanciones por no comunicar brechas de seguridad?

En Noviembre de 2019 no constaban aún en España sanciones por no comunicar las brechas de seguridad. En julio de 2020 se publicó una sanción de 3600 € por la falta de comunicación de una brecha de seguridad a la AEPD. La sanción era de 6000 € pero se redujo ya que el responsable pagó de manera voluntaria.

El caso concreto se trata de un ataque informático a una empresa a través del cual los atacantes obtuvieron los datos personales, como el email, de los clientes de esa empresa, enviándoles correos para obtener más información suya con fines fraudulentos. Estos ataques son cada vez más frecuentes.

¿Brechas de seguridad y COVID19?

Este año 2020 va a ser recordado lamentablemente por el COVID19; entre otras muchas consecuencias, una de ellas es que las empresas han confiado su continuidad, en muchas ocasiones, a “nuevos” recursos digitales y al teletrabajo.

Ambas casos, con independencia de sus ventajas, pueden ser fuente de “nuevas” brechas de seguridad.

Nuevos proveedores y herramientas

Como decimos, ante la imposibilidad de realizar la mayoría de tareas de manera presencial, las empresas han implementado nuevas herramientas para seguir trabajando: videollamadas, sistemas de firma electrónica de documentos, contratos, etc…

Estas herramientas, en su inmensa mayoría, son gestionadas por nuevos proveedores para las empresas y si ponemos “en sus manos” parte de nuestros procesos productivos y de los datos personales que en ellos manejamos, debemos ser conscientes que las brechas o incidencias, les pueden ocurrir a ellos.

Por eso es muy importante asegurarse de la política de comunicación de brechas de los proveedores con sus clientes, para que éstos a su vez, cumplan con los requisitos del RGPD.

Teletrabajo

El fenómeno del teletrabajo ha experimentado un crecimiento sin precedentes este 2020. Con sus innegables ventajas, el teletrabajo no está exento de nuevos riesgos: el acceso datos personales desde los domicilios de los trabajadores, con medidas de seguridad no controladas por las empresas, es sin duda el mayor de ellos.

Cualquier incidencia ocurrida en estas circunstancias, debe ser conocida y controlada por la empresa y ser tratada como si se hubiera producido en la propia empresa.

Las brechas de seguridad son uno de los nuevos retos del RGPD y cómo gestionarlas es sin duda una situación que las empresas deben abordar de manera eficiente y de acuerdo a su estructura y organización.

Si necesitas revisar o implementar tu protocolo interno de gestión de brechas de seguridad, contacta con nosotros.