Brechas de datos en las pymes y cómo proceder
Las empresas pueden usar la herramienta ‘Comunica-Brecha RGPD’ que les ayudará a evaluar el nivel de riesgo.
A ninguna empresa, ya sea grande o pequeña, le gusta tener una brecha de datos. Sin embargo, a veces éstas ocurren, pese a que la compañía haya puesto todo de su parte para evitarlo. Las pymes disponen de la herramienta ‘Comunica-Brecha RGPD’, una herramienta de la Agencia Española de Protección de Datos, que les ayudará a evaluar el nivel de riesgo de la brecha de datos y a tomar las decisiones oportunas.
Cuando se detecte la brecha de datos, la empresa tendrá que conocer cuáles son los riesgos que la situación implica. Además, habrá que revisar si los daños sobre la integridad o confidencialidad de los datos son irreversibles y cómo se pueden reducir los perjuicios ocasionados.
Todo eso tendrá que realizarse desde el momento en el que se conozca que existe una brecha de datos. En el caso de que el riesgo de la brecha de datos sea alto para los derechos y libertades de los afectados, habrá que comunicarlo inmediatamente.
Por el contrario, si se considera que se pueden minimizar los daños ocasionados por la brecha de datos no será necesario su comunicación. Lo mismo sucederá en el caso de que se hayan adoptado las medidas de protección necesarias para reducir los riesgos para los clientes.
En el caso de que la pyme no adopte las medidas oportunas, la Autoridad de Control podrá exigirle comunicarlo a los afectados. Y si la pyme indica que cumple los requisitos para no comunicarlo a los afectados, la Autoridad de Control podrá pedirle una demostración de esto.
Plazo de 30 días
Los plazos para hacer la comunicación varían, aunque sí que se recomienda actuar a la mayor brevedad posible. No obstante, la comunicación puede posponerse si la comunicación afecta a la investigación que se esté llevando a cabo. Siempre tiene que haber una supervisión por parte de la Autoridad de Control.
Asimismo, si es la Autoridad de Control la que ha exigido a la pyme que comunique la brecha de datos, la empresa dispondrá solo de 30 días para realizar la comunicación. La única excepción será en el caso de que la Autoridad de Control haya establecido otra fecha.
