Hacía ya tiempo que no preparábamos una entrada de “Básicos” de protección de datos. Por ello, y tras los básicos de videovigilancia (incluyendo el no tan básicos), básicos de e-marketing y básicos de marketing no electrónico; hemos decidido centrarnos en las tan temidas brechas de seguridad.

Sufrir una brecha de seguridad se ha convertido en el hombre del saco de la protección de datos. Sobre todo desde el momento en que las brechas no se pueden sufrir en silencio sino que, en muchos casos, se deben notificar a las autoridades (obligación a la que ya están acostumbrados determinados sectores –p.ej. el sector de las telecomunicaciones que tiene su propio régimen–) y, en su caso, comunicar a los interesados.

Siguiendo el orden natural de acontecimientos, durante las próximas semanas publicaremos distintas entradas relativas al mundo brechas de seguridad en un intento de recopilar la información esencial que ha de tenerse en cuenta acerca de este apasionante tema.

¿Qué es una brecha?

El RGPD define violación de seguridad (en vez de “brecha de seguridad”, término comúnmente utilizado) como:

toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Se trata de una definición muy amplia que pretende cubrir cualquier suceso inesperado o no deseado y que afecte negativamente a los datos personales de los que es responsable una entidad.

Es importante tener en cuenta que no todo incidente de seguridad se materializa en una brecha de seguridad a efectos de protección de datos (i.e. activa la aplicación de las obligaciones a este respecto del RGPD). Lo relevante es que dicho incidente afecte o implique datos personales.

Tipos de brechas:

En general, las brechas se dividen en las siguientes tres categorías:

Además, las brechas también se pueden dividir por su origen (interno o externo), su carácter (intencionado o no), o su estado (resueltas o no).

Estas definiciones y categorías, obtenidas de las Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 del Grupo de Trabajo del Artículo 29 (bendecidas por el Comité Europeo de Protección de Datos) y que desarrolla con un poco más de detalle la AEPD en su Guía para la gestión y notificación de brechas de seguridad (la “Guía”), tienen su utilidad a efectos de sistemática, para valorar el alcance de las mismas (teniendo en cuenta, entre otros, el tipo y número de sujetos afectados, el tipo de datos y el impacto/exposición de la brecha) y de cara a llevar a cabo la notificación a la AEPD y la comunicación a los interesados en su caso (como ya se verá).

Obviamente no son compartimentos estancos y, por ejemplo, una misma violación puede producir efectos que se puedan categorizar, a la vez, en más de un tipo de brecha.

Como la AEPD expone en su último Informe sobre notificaciones de brechas de seguridad, la gran mayoría de brechas notificadas son las relativas a organizaciones privadas, sobre confidencialidad y disponibilidad, afectando a empleados y clientes, y de carácter externo (intencionado).

Procedimiento de gestión de brechas de seguridad:

La AEPD detalla en la Guía los siguientes pasos para la adecuada gestión de una brecha de seguridad:

No vamos a entrar a desarrollar cada paso del proceso, ya que la AEPD los resume de forma sistemática en su Guía. No obstante, sí resaltaremos la importancia de la fase de preparación y de la labor de documentación. A este respecto, en línea con el principio de accountability y sin perjuicio del cumplimiento de otras obligaciones (principalmente aquella prevista en el artículo 32 RGPD sobre medidas de seguridad), es importante que se documente todo el proceso (antes, durante y después) relativo a una brecha de seguridad:

  • Antes: En cumplimiento con los principios de privacidad desde el diseño y por defecto (art. 25 RGDP) y la obligación de mantener las medidas de seguridad oportunas al riesgo (art. 32 RGPD), se deben implementar mecanismos, procedimientos y políticas que impidan brechas de seguridad, las identifiquen y prevean cómo remediarlas una vez ocurran.
  • Durante: Es fundamental ir documentando las decisiones que se toman a lo largo del proceso. Por ejemplo, los análisis llevados a cabo para determinar el tipo de brecha, su alcance y la decisión acerca de su notificación a la AEPD y, en su caso, su comunicación a los interesados.
  • Después: Una vez solventada la brecha de seguridad resulta esencial confirmar que las medidas adoptadas han sido efectivas, a través de controles periódicos, y que se implementan medidas para detectar nuevos casos. En este punto, el “viejo” registro de incidencias cobra especial relevancia (véase el art. 33.5 RGPD).

Más información:

Podréis encontrar más información sobre qué es una brecha de seguridad en las FAQs de la AEPD, su Blog, su página web, las mencionadas Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 y en la Guía para la gestión y notificación de brechas de seguridad.

Asimismo, hemos de hacer referencia al INCIBE y la enorme cantidad de información que facilita en su página web acerca de las brechas de ciberseguridad, sus efectos y cómo prevenirlas. Además de su resumen acerca de los 10 hitos destacados en ciberseguridad en 2019, cabe destacar su guía sobre Cómo gestionar una fuga de información. Una guía de aproximación al empresario, las entradas a su blog sobre temas relacionados con seguridad (e.g. malware, backup, VPN, etc.) y sus Políticas de seguridad para pymes.