Copiar enlace

Con motivo de la reciente publicación de la «Guía para la gestión y notificación de brechas de seguridad» de la Agencia Española de Protección de Datos LETSLAW ha querido facilitar un resumen con las nuevas directrices que facilita la AEPD para responder adecuadamente a las brechas de seguridad.

A través de esta Guía, la AEPD busca establecer una serie de pautas para que las empresas incluyan procedimientos homogéneos en sus políticas de brechas de seguridad para dar una respuesta eficaz a las infracciones o violaciones en materia de protección de datos que pueda recibir la empresa.

Detección, identificación y clasificación de las brechas de seguridad

El primer paso para gestionar adecuadamente una brecha de seguridad es detectar los orígenes de los incidentes de seguridad. Para ello, se deberá establecer un proceso continuo de detección a través de fuentes internas y externas.

  • Las fuentes internas son aquellas medidas de seguridad establecidas dentro de la empresa que permiten conocer la existencia de una alteración en los datos, por ejemplo: notificaciones de usuarios, recepción de emails inadecuados, extravío de dispositivos, alertas generadas por antivirus.
  • Se deberán de tener en cuenta como fuentes externas las comunicaciones de clientes, proveedores de servicios u organismos públicos.

Una vez detectado el acceso irregular a los datos, debe identificarse si existe una brecha de seguridad o incidente de seguridad. Incidente de seguridad es el término genérico mientras que brecha de seguridad se refiere al incidente que afecta a datos personales.

Tras determinar la existencia de una brecha de seguridad, se deberá valorar la peligrosidad. Para ello se deberá analizar los siguientes puntos:

  • Nivel de criticidad dentro de la empresa.
  • Naturaleza, volumen y categorías de datos afectados
  • Consecuencias para los individuos (establecer niveles de gravedad) y número de afectados.

Tipos de brechas de seguridad

Conociendo la peligrosidad de la brecha de seguridad está podrá clasificarse en:

  • Brecha de confidencialidad: Tiene lugar cuando existen accesos no autorizados o no tienen un propósito legítimo para acceder a la información.
  • Brecha de integridad: Se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial.
  • Brecha de disponibilidad: Su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo) o permanente (los datos no pueden recuperarse).

Cómo actuar ante brechas de seguridad

Para gestionar la brecha de seguridad, se deberá elaborar un plan de contingencia o actuación en el que se realice una asignación de recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento que puedan ser afectadas por los incidentes ocurridos.

El plan de actuación deberá incluir las siguientes 4 acciones:

  • Contención: se deberán tomar decisiones rápidas y progresivas que aíslen la redes y deshabiliten funciones, limitando con ello cualquier movimiento o expansión del incidente.
  • Erradicación: será necesaria para solventar determinados efectos del incidente de seguridad, como, por ejemplo, eliminar un malware o desactivar de cuentas de usuario vulneradas.
  • Recuperación: una vez solucionada la brecha de seguridad y verificadas las medidas adoptadas, se deberá confirmar el funcionamiento normal de las actividades afectadas. Además, se deberán implementar controles periódicos y eficaces que permitan el seguimiento pormenorizado de los procesos de mayor riesgo.
  • Notificación: Según el artículo 33 del RGPD, en caso de brecha de la seguridad que afecte a los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente (AEPD) sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

10 claves sobre el Nuevo Reglamento General de Protección de Datos (GDPR/RGPD) en eCommerce

Qué debe contener la notificación de brecha de seguridad

La notificación deberá realizarse a través del formulario destinado a tal efecto publicado en la sede electrónica de la Agencia Española de Protección de Datos

La notificación deberá incluir el siguiente contenido:

  • Descripción de la naturaleza de la violación de la seguridad, indicando la categorías y número de registros de datos personales afectados.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, en su caso, las medidas adoptadas para mitigar los efectos negativos que se hubieran producido.
  • En aquellos casos en que la violación de la seguridad de los datos personales suponga un alto riesgo para los usuarios (por ejemplo: pérdida de control de sus datos personales, robo de identidad), les será comunicada esta circunstancia.
  • El contenido de la comunicación a los interesados será expresado en un lenguaje claro y sencillo. Esta comunicación, debería contener como mínimo:
    • Descripción general del incidente y momento en que se ha producido.
    • Las posibles consecuencias de la brecha de la seguridad de los datos personales.
    • Descripción de los datos e información personal afectados.
    • Resumen de las medidas implantadas hasta el momento para controlar los posibles daños y datos de contacto para obtener más información.

La notificación se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que se considere adecuado. No se tendrá que comunicar la violación de la seguridad a los interesados en las siguientes circunstancias:

  • Cuando se hubieran adoptado medidas de protección que hagan indescifrable e inaccesible los datos personales afectados por la violación de la seguridad para cualquier persona que no tenga acceso autorizado (por ejemplo, el cifrado).
  • Cuando la comunicación suponga un esfuerzo desproporcionado, debiéndose en este caso realizar una comunicación pública sobre la violación de la seguridad de los datos.

JobandTalent, primera gran brecha de seguridad tras la puesta en marcha de la GDPR: millones de usuarios afectados

Valoración del riesgo

No obstante la anterior, las notificaciones a la AEPD y usuarios deberán notificarse cuando la brecha de seguridad suponga un alto riesgo. Para ello la propia AEPD, a través de la citada Guía, da las pautas para comprobar si hay o no un alto riesgo que obligue a una empresa a notificar a los usuarios y a la propia AEPD los hechos ocurridos.

Para ello se establecen los siguientes 3 criterios para poder calcular el nivel de riesgo:

  • Volumen de datos personales afectados que identifiquen a personas, estableciendo un baremo de entre menos de 100 y más de 1 millón.
  • Tipología de los datos en función de si los datos comprometidos son o no sensibles.
  • Impacto, es decir, si la exposición ha sido dentro de la empresa, en el perímetro de los proveedores o de libre acceso en internet.

Cada criterio incluye diferentes opciones de menor a mayor gravedad, mostrando el nivel de gravedad entre paréntesis.
Por ejemplo, en el caso del criterio de volumen se encontrarían los siguientes niveles:

  • menos de 100 registros (1)
  • más de 1000 (2)
  • entre 1000 y 100.000 (3)
  • más de 100.000 (4)
  • más de 1 millón (5)

Dichos niveles de gravedad tienen la finalidad de calcular el nivel de riesgo utilizando la siguiente fórmula:

Volumen x (Tipología x Impacto)

Una vez establecido el nivel de riesgo la AEPD establece dos criterios para notificar las brechas de seguridad en base a la cifra resultante:

  • Para realizar la notificación ante la autoridad de control el nivel de riesgo debería ser superior a la cifra 20 ( o que existan dos circunstancias de categoría alta, por ejemplo que los datos afectados sean sensibles y que la exposión de los datos sea al público).
  • Para realizar la notificación a los afectados el nivel de riesgo debería alcanzar la cifra de 40 (o que existan dos circunstancias de categoría alta).

Por último, una vez que la brecha de seguridad haya sido neutralizada es recomendable que se elabore un Informe Final para recopilar la información, plazos de actuación y medidas adoptadas durante el proceso para disponer de un documento que recabe todas las actuaciones de cara a una revisión por terceras partes.

Artículos relacionados
Cómo proteger tu marca en el mundo digital
Congreso Ciberseguridad Expo 2023: sobre estrategias en la protección de datos y la defensa contra ciberataques
Así son los nuevos checks azules de verificación en Gmail para garantizar la identidad del remitente

Imagen: Depositphotos

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Otros artículos vinculados con:

Escribir comentario

Hacer Comentario

Su dirección de correo electrónico no será publicada.


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.

Acepto recibir comunicaciones comerciales perfiladas conforme a la política de privacidad de Iniciativas Virtuales

¡Mantente al día!