¿Brecha de seguridad? Que no cunda el pánico

La obligación de tener un mayor control sobre la información que manejamos como compañía debe aprovecharse para mejorar nuestra la operativa. No hay lugar para el desaliento. Eso sí, tenemos que ponernos ya manos a la obra y diseñar un buen plan de respuesta.

Una de las piezas fundamentales del puzzle que conforma el nuevo Reglamento Europeo de Protección de Datos (en adelante "RGPD") es la notificación de brechas de seguridad. Hasta la entrada en vigor del RGPD (mayo de 2016), esta obligación estaba reservada a los operadores de servicios de comunicaciones electrónicas disponibles al público. Pero ahora, el RGPD obliga a todos los responsables de tratamiento a notificar cualquier incidente de seguridad que pueda constituir un riesgo para los derechos y libertades de las personas físicas.

Primero, aclaremos que es 'una brecha' en el contexto del RGPD. Una brecha es cualquier alteración de los principios de confidencialidad, integridad y disponibilidad.

Quizás se piense que las brechas de seguridad están reservadas para empresas con grandes y complicados sistemas de información o tratamientos de datos muy sensibles, pero no es así. Cualquier organización está expuesta a tener una brecha de seguridad, eso es un hecho. La pregunta no es si se producirá una brecha en nuestra organización sino cuándo. Accesos no autorizados a la información por una tercera parte, un mail enviado al destinatario incorrecto, la pérdida o destrucción de un CD o un USB con datos personales de clientes o trabajadores, dejarle la contraseña a un compañero para acceder a información restringida, la modificación de datos personales por un empleado que no estaba autorizado a ello; todos estos ejemplos son brechas de seguridad.

Pues bien, lo que ahora nos pide el RGPD es que, cuando de esas brechas se pueda derivar un riesgo para las personas, lo notifiquemos a la autoridad de control que corresponda y, si el riesgo puede ser alto, que también se notifique a los interesados. La notificación deberá hacerse a la autoridad de control en el plazo máximo de 72 horas tras haber tenido constancia de la existencia de la misma.

Atención a "tras haber tenido constancia": como la empresa no tenga bien aprendida la lección y no haya implantado un buen procedimiento para controlar la seguridad de la información que maneja, es probable que no se entere del incidente. Así, no sólo incumplirá la obligación de notificar la brecha, sino que además la autoridad de control lo sabrá por otro lado. Eso es un agravante en la imposición de la sanción.

Dicho esto, está claro que se derivan muchas incógnitas de la lectura del RGPD en cuanto a brechas de seguridad. Vamos a intentar responder a las principales.

¿Qué pasa si no tengo toda la información? Tranquilidad. Se puede notificar por fases. Y, ¿cómo determino el riesgo? El RGPD nos da la pista: la empresa deberá llevar a cabo una evaluación de los riesgos de la brecha. Igual que se hace para determinar el riesgo que asume la compañía, en el caso de brechas de seguridad se deberá analizar el riesgo que se ha producido.

Si este análisis, o parte de él, lo realiza un encargado por cuenta del responsable, la empresa deberá asegurarse de que, en el contrato con el encargado, la obligación de informar al responsable haya quedado bien reglamentada.

Y, ¿qué información debo incluir en la notificación exactamente? Se deberá incluir una descripción de la naturaleza de la brecha y, si es posible, la mención a las categorías y registros de datos personales afectados. El RGPD no nos define qué categorías y registros existen, por eso debemos entender que lo que nos están pidiendo es que se haga constar si la brecha afecta o puede afectar a algún colectivo más vulnerable, como niños o personas con discapacidad y el tipo de datos afectados (datos de salud, información financiera, números de cuenta, etc). Deberemos, además, aclarar cuáles creemos que pueden ser las consecuencias de la brecha y las medidas que hayamos implementado para mitigarlas.

¿Y si resulta que no se cumplen los requisitos para notificar? En cualquier caso, habrá que documentar la brecha, dejarla registrada, explicar qué ha sucedido y qué se ha decidido al respecto.

María Bardají Cruz, abogada y responsable de Protección de Datos de Rödl & Partner.

Si quieres saber cómo proteger su organización ante las nuevas exigencias de privacidad, pinche aquí.