Madrid
La Agencia Española de Protección de Datos ha presentado su última guía orientativa a la aplicación del Reglamento europeo de Protección de Datos (RGDP), esta vez sobre cómo notificar y gestionar quiebras de seguridad según la nueva normativa, aspecto que de no hacerse correctamente, podría poner en la cuerda floja a la entidad provocando una crisis reputacional y de seguridad.
El RGPD establece que cualquier responsable de datos en una empresa está obligado a notificar una quiebra de seguridad en caso de que esta suponga un riesgo para los derechos y libertades de las personas, en un plazo máximo de 72 horas desde su identificación. Antes, la obligatoriedad de notificarla solo era extensible a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Sin embargo, si la brecha de seguridad conlleva un alto riesgo para los derechos de las personas, además de comunicarlo a la Autoridad de control, el responsable de tratamiento de la entidad debe comunicarselo a los afectados con un lenguaje claro, sencillo, de forma concisa y transparente.
La guía, realizada en colaboración con el Centro Criptológico Nacional (CCN), ISMS Fórum y el Instituto Nacional de Ciberseguridad (INCIBE), tiene como objetivo "dar certidumbre y ofrecer una vía de seguridad a las empresas en un momento muy delicado en el que hay mucha desinformación", explicó la directora de la AEPD, Mar España en su presentación.
En cuanto al proceso a seguir, la guía comienza con la fase de detección e identificación de la brecha, donde se deberán concretar las situaciones consideradas incidentes de seguridad y las herramientas de detección o sistemas de alerta y todos los aspectos del incidente deben quedar anotados en un registro de incidencias. Por consiguiente, para concretar la peligrosidad potencial de la quiebra, los expertos aconsejan recurrir al análisis de riesgos o evaluación de impacto realizado antes de la puesta en marcha de las actividades de tratamiento. Cuando se ha detectado la brecha se pondrá en marcha un protocolo de actuación previamente definido que deberá analizar y clasificar la quiebra, coordinarla con los medios internos y externos e iniciar un plan de respuesta. En este paso, se deberán limitar los daños causados por el incidente y terminará con la notificación a la AEPD. "Es necesario que toda brecha de seguridad de datos personales se registre y justifique documentalmente por el responsable para que la autoridad de control pueda verificar el cumplimiento de la obligación de notificación en todo su contenido", aconseja la Agencia.
En cambio, España concretó que "en ninguna de las 37 quiebras notificadas desde la aplicación del RGPD se ha llevado a cabo un procedimiento sancionador".