31/03/21
Una brecha de seguridad es un incidente de seguridad que afecta a los datos personales que maneja una empresa, tanto de clientes y proveedores como de sus propios trabajadores. El incidente puede ser accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personal.
Como ejemplo, podríamos decir que una empresa ha sufrido una brecha de seguridad cuando se pierde un pendrive, ha sufrido un robo, ha sido expuestos a algún tipo de ciberdelito o incluso cuando se ha enviado un mail al destinatario erróneo con información confidencial, ya sean facturas, nóminas o informes, entre otros.
Las empresas deben estar preparadas a este tipo de situación porque son sucesos que ocurren prácticamente a diario, y lo primero que deben tener es el registro de actividades de tratamiento y el análisis de riesgo previamente elaborado y actualizado.
Si la brecha de seguridad supone un perjuicio para las personas afectadas, entonces se debe notificar ante la Agencia española de Protección de Datos en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en su Sede electrónica.
No cumplir con la obligación de notificar en tiempo y formar se considera infracción muy grave y por tanto puede suponer la imposición de sanciones en forma de multa administrativa. Además, de asumir un elevado coste reputacional para la empresa.
Si la brecha de seguridad supone un alto riesgo, la empresa deberá informar a las afectados cuanto antes, a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto les permitirá reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
La AEPD ha desarrollado Comunica-Brecha RGPD, un recurso de utilidad para que cualquier empresa pueda valorar la obligación de informar a las personas afectadas. Se trata de una herramienta sencilla y gratuita. Ahora bien, es una ayuda a la toma de decisiones, pero esta última corresponde ineludiblemente a la empresa y en ningún caso su utilización representa el pronunciamiento de esta Agencia para una brecha de seguridad concreta. Es por ello que, ante la duda, se recomienda notificar la brecha e informar a los afectados.
Sea cual sea la decisión, cada empresa deberá llevar un registro de las brechas de seguridad sufridas, en el que se justifique las decisiones que se han ido tomando en cada momento. Este documento se lo puede requerir en cualquier momento la autoridad de control.
En definitiva, resulta necesario que la empresa cuente con un asesoramiento externo por parte de una consultoría especializada en materia de protección de datos que la ayude a prevenir esta situación, minimizando riesgos y acompañándola en este procedimiento para notificar brechas de seguridad.
Oscar Labella – Consultor Implantador LOPD