Què és una bretxa de seguretat?

31/03/21 

Una bretxa de seguretat és un incident de seguretat que afecta les dades personals tractades per una empresa, tant de clients i proveïdors com dels seus propis treballadors. La incidència pot ser accidental o intencionada i també pot afectar les dades tractades digitalment o en format paper. En general, es tracta d'un fet que provoca destrucció, pèrdua, alteració, comunicació o accés no autoritzat a les dades personals.

A l'exemple, podríem dir que una empresa ha patit una bretxa de seguretat quan es perd un pendrive, ha patit un robatori, ha estat exposat a algun tipus de ciberdelicte o fins i tot quan s'ha enviat un correu electrònic al destinatari equivocat amb informació confidencial, ja siguin factures, nòmines o informes, entre d'altres.

Les empreses han d'estar preparades per a aquest tipus de situacions perquè són esdeveniments que es produeixen pràcticament diàriament, i el primer que han de tenir és el registre d'activitats de tractament i l'anàlisi de riscos prèviament elaborat i actualitzat.

Si la bretxa de seguretat perjudica les persones interessades, s'haurà de notificar a l'Agència Espanyola de Protecció de Dades en un termini màxim de 72 hores des del moment en què es conegui a través de l'enllaç habilitat a la seva Seu Electrònica

L'incompliment de l'obligació de notificar en temps i forma es considera una infracció molt greu i, per tant, pot comportar la imposició de sancions en forma de multa administrativa. A més, assumir un alt cost reputacional per a l'empresa.

Si la bretxa de seguretat és d'alt risc, l'empresa ha d'informar els afectats al més aviat possible, a través dels mitjans utilitzats per comunicar-se amb ells, amb un llenguatge clar i senzill. Això els permetrà reaccionar el més aviat possible i prendre les mesures oportunes, ja que aquesta comunicació ha d'explicar clarament el que va passar i les mesures recomanades perquè puguin minimitzar o eliminar les conseqüències negatives de la bretxa sobre ells.

L'AEPD ha desenvolupat Comunica-Brecha RGPD, un recurs d'utilitat perquè qualsevol empresa avaluï l'obligació d'informar les persones afectades. És una eina senzilla i gratuïta. No obstant això, és una ajuda a la presa de decisions, però aquesta última és ineludiblement responsabilitat de l'empresa i en cap cas el seu ús representa el pronunciament de l'Agència per una infracció de seguretat específica. És per això que, davant el dubte, es recomana notificar la bretxa i informar els afectats.

Sigui quina sigui la decisió, cada empresa ha de fer un seguiment de les mancances de seguretat sofertes, justificant les decisions que s'han pres en cada moment. Aquest document pot ser requerit en qualsevol moment per l'autoritat de control.

En definitiva, és necessari que l'empresa disposi d'assessorament extern d'una consultoria especialitzada en protecció de dades que l'ajudi a prevenir aquesta situació, minimitzant riscos i acompanyant-la en aquest procediment per informar d'incompliments de seguretat.

Oscar Labella - Consultor d'Implants LOPD

Últimas Entradas