El pasado 19 de junio, la Agencia Española de Protección de Datos ha publicado una nueva guía de ayuda para el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD), dedicada en este caso a las violaciones de seguridad de datos personales reguladas en sus artículos 33 y 34.
En la línea de implantar el principio de responsabilidad proactiva, con dichos preceptos se “universaliza” la obligación de notificar la existencia de una brecha de seguridad a la Autoridad de Control a cualquier Responsable que trate datos personales, Antes de la entrada en vigor del RGPD, dicha obligación estaba limitada a los operadores de comunicaciones electrónicas y a los prestadores de servicios de confianza en el ámbito digital.
Así mismo, también se regula en el RGPD el plazo de 72 horas para notificar a la Agencia (excepciones aparte), el contenido mínimo de dicha notificación, la obligación de documentar la brecha de seguridad y los supuestos en los que responsable deba comunicar también la incidencia al titular de los datos personales afectados debido al alto riesgo de que sean vulnerados sus derechos y libertades.
Por ello, la Agencia ha incorporado diversas recomendaciones en esta guía que resultarán muy útiles tanto a los Responsables, como obligados directos, como a quienes deban ejecutar las actuaciones en la organización –el delegado de protección de datos y el responsable de seguridad, si los hubiera– para una adecuada gestión cuando se produce una brecha de seguridad, destacando las que siguen:
- Siendo obligatorio establecer un procedimiento de notificación de las brechas de seguridad, se recomienda que el Responsable lo organice a partir del sistema de “Registro de Incidencias” que se exigía anteriormente al RGPD.
- Ante el limitadísimo plazo para cumplir con la obligación de notificar a la Agencia, se recomienda igualmente implementar un servicio de avisos o notificaciones, que pueda detectar ágilmente si un incidente puede ser clasificado como brecha de seguridad, así como un procedimiento de comunicación interna, para escalar los avisos rápida pero también eficazmente.
- Se recomienda al Responsable que incorpore a su Política de Seguridad y de Protección de Datos el procedimiento de gestión de brechas de seguridad, de forma que sea fácilmente accesible para todas las personas involucradas en la detección, análisis de riesgos, clasificación y respuesta al incidente, que en su caso, podrá incluir tanto la notificación a la Agencia como la comunicación a los afectados.
- Teniendo en cuenta que la notificación es una medida reactiva, pero siendo conscientes de que es imposible evitar la existencia de incidentes, se recomienda la implantación de controles periódicos y eficaces, a fin de anticiparlos en la medida de lo posible, en los procesos de mayor riesgo en la actividad del Responsable.
- Se recomienda establecer una previa clasificación de afectados según el tipo de datos que trate el Responsable, lo que nos servirá para valorar el riesgo sufrido y la procedencia de tener que comunicarles o no la brecha de seguridad.
- Respecto de la obligación de documentar la brecha de seguridad, resulta muy recomendable contar con un experto forense en materia tecnológica que pueda ayudarnos a identificar los motivos que puedan haber generado la brecha de seguridad así como a conservar las evidencias que se identifiquen.
- Llegado el caso, los primeros momentos son críticos. Por ello, medidas de contención inmediatas como limitar accesos, suspender credenciales, realizar copias del sistema, contactar con proveedores externos o iniciar una vigilancia sobre la difusión de datos afectados por la incidencia a través de páginas web o redes sociales pueden resultar esenciales para minimizar el impacto y para poder documentar la brecha de seguridad.
Desde los diferentes despachos de la firma ETL GLOBAL ayudamos a numerosas empresas en el cumplimiento del RGPD. Ante el nuevo marco de aplicación iniciado el pasado 25 de mayo de 2018, resulta necesario contar con un asesoramiento especializado a fin de evitar sanciones en esta materia.
Diego López. Abogado.
EJASO ETL GLOBAL.