Guía para gestionar y notificar las quiebras de seguridad según el Reglamento

5 julio, 2018
10 Compartido 2,202 Visualizaciones

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

La Agencia Española de Protección de Datos (AEPD)  presentó el mes pasado la ‘Guía para la gestión y notificación de brechas de seguridad’ junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE. El objetivo de este documento es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.

De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.

La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.

Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.

El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

Por último, la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.

El lanzamiento de la ‘Guía para la gestión y notificación de brechas de seguridad’ completa los manuales de ayuda que la Agencia Española de Protección de Datos ha presentado para facilitar la adaptación de las organizaciones al RGPD, entre los que se encuentran el Listado de cumplimiento normativo y las guías para Responsables de tratamientos de datos personalesCumplimiento del deber de informarElaboración de contratos entre responsables y encargadosAnálisis de riesgos y Evaluaciones de impacto, además de la herramienta Facilita_RGPD para empresas que traten datos de escaso riesgo.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

ISMS participará en SICUR 2020 liderando el espacio SICUR CYBER del 25 al 28 de febrero en IFEMA
Actualidad
7 compartido1,388 visualizaciones
Actualidad
7 compartido1,388 visualizaciones

ISMS participará en SICUR 2020 liderando el espacio SICUR CYBER del 25 al 28 de febrero en IFEMA

Aina Pou Rodríguez - 19 febrero, 2020

ISMS Forum liderará el SICUR CYBER en el Salón Internacional de la Seguridad 2020 (SICUR). El evento se celebrará del…

Ya hay ganadores de Atenea 2019, la plataforma de retos del CCN-CERT
Actualidad
12 compartido1,904 visualizaciones
Actualidad
12 compartido1,904 visualizaciones

Ya hay ganadores de Atenea 2019, la plataforma de retos del CCN-CERT

Vicente Ramírez - 19 noviembre, 2019

Los tres primeros clasificados recibirán una invitación para asistir a las XIII Jornadas CCN-CERT. Julianjm, Fuska y Juan González serán…

Ransomware a la caza de los famosos
Actualidad
21 compartido1,472 visualizaciones
Actualidad
21 compartido1,472 visualizaciones

Ransomware a la caza de los famosos

Redacción - 21 mayo, 2020

Los personajes públicos son si cabe perfiles mucho más atractivos para los ciberdelincuentes por el alto valor que sus datos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.