Gestión de las brechas de seguridad que afecten a la protección de datos personales

 

Uno de los aspectos centrales del Reglamento General de Protección de Datos Personales (en adelante RGPD) se corresponde con la correcta gestión de las brechas o violaciones de seguridad que afecten o puedan afectar a la protección de datos personales en el ámbito de nuestras organizaciones.

 

 

1. ¿Qué son las brechas de seguridad en la protección de datos personales?

 

El RGPD define las brechas de seguridad como

“todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Es importante remarcar que, al igual que el resto de elementos afectados por el Reglamento, las violaciones de seguridad tal y como se establecen en la normativa, únicamente afectarán a los datos de carácter personal.

El RGPD establece también, en sus artículos  33 y 34, la necesidad de comunicar las brechas en el plazo máximo de 72 horas desde que se tiene conocimiento del alcance las violaciones de seguridad, tanto a la autoridad de control si esta implica un riesgo para los derechos y las libertades de las personas, como a los interesados si dicha violación implica un alto riesgo.

Es por ello que se hace más importante que nunca, contar con unas políticas y sistemas que nos permitan establecer la protección de datos personales que tratamos en nuestra organización, ya sea en calidad de Responsables o encargados del tratamiento. Algo que desde Grupo Adaptalia recomendamos encarecidamente como asesoría jurídica en protección de datos.

 

2. Comunicar brechas de seguridad

 

De mismo modo, el RGPD nos señala de forma clara cuál es la información que habría que facilitar en caso de producirse una brecha de seguridad:

 

a)       describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

 

b)       comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

 

c)       describir las posibles consecuencias de la violación de la seguridad de los datos personales;

 

d)      describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para la protección de datos personales que permitan mitigar los posibles efectos negativos.

 

Es evidente que el daño (tanto económico como reputacional) que podría ocasionar para cualquier organización la comunicación de una violación de seguridad, supone que cada vez más empresas elaboren protocolos efectivos de respuesta si llega a producirse algún tipo de brecha de seguridad. Por ejemplo, una pérdida o robo de información por parte de un empleado o por el acceso ilícito de un hacker que consiga saltarse las medidas de seguridad implantadas para la correcta protección de datos personales y empresariales.

 

protección de datos personales y brechas de seguridad en el RGPD

Protección de datos personales y hackers.

 

3. Medidas para evitar las brechas de seguridad en la protección de datos personales

Algunas de las medidas que habría que tomar para que una violación de seguridad sea capaz de gestionarse adecuadamente serían:

  • Tomar medidas de seguridad de acuerdo con el análisis de riesgo efectuado en nuestra organización, de forma que exista una ponderación entre las medidas de seguridad tomadas para la protección de los datos personales y el tratamiento, volumen y tipo de datos tratados.

 

  • Elaborar un protocolo de valoración y respuesta interno de conformidad con las instrucciones facilitadas por las autoridades de control.

 

  • Llevar un registro interno de cualquier tipo de incidencia que pueda afectar a los derechos y libertades de los interesados.

 

  • Nombrar un equipo que se encargue de la gestión de las violaciones de seguridad.

 

  • Contar con el apoyo de expertos que asesoren, ya que, en ocasiones, una valoración errónea de la importancia de una brecha de seguridad puede llevar a una organización a tomar decisiones equivocadas.

 

Resulta evidente que el riesgo cero no existe y que aún tomando las medidas adecuadas puede producirse una brecha de seguridad que suponga una grave afección a cualquier sistema de seguridad, afectando a la protección de datos personales de nuestra organización.

Sin embargo, no resulta menos cierto que tomar las medidas adecuadas y gestionar de forma efectiva este tipo de incidencias puede, además de minimizar el riesgo, atenuar o incluso eliminar la cuantía económica de una posible sanción de la Agencia Española de protección de datos o cualquier otra autoridad de control.

En nuestra consultoría de protección de datos le asesoramos para la correcta gestión y protección de datos personales en los ámbitos legales y tecnológicos sea cual sea su sector o actividad. Empresas y autónomos se benefician de nuestra experiencia  para evitar sanciones y brechas de seguridad. Respire tranquilo cumpliendo con la legalidad 360º en protección de datos. Contacte.