CISO2CISO.COM & CYBER SECURITY GROUP

Guia Practica para la Gestion de Breachas de Datos Personas by ISMS and DPI

Si no se toman a tiempo las medidas adecuadas, las brechas de datos personales pueden entrañar daños y perjuicios para las personas físicas; responderemos no tanto por sufrirlas como por la gestión que hagamos de ellas.

Cuando en mayo de 2018 se hizo exigible el Reglamento General de Protección de Datos (en adelante, RGPD), una de las principales novedades a las que nos tuvimos que enfrentar como responsables y encargados de los tratamientos de datos personales en nuestras organizaciones, fue la doble obligación de, en determinadas circunstancias, notificar las brechas de datos personales a las autoridades de control y comunicarlas a las personas físicas afectadas.
Desde hace muchos años se han venido produciendo iniciativas destinadas a establecer vías o espacios donde compartir información, no solo técnica sino también de gestión, entre los profesionales de la ciberseguridad. En un mundo hiperconectado, los incidentes no son algo privado que se pueda dejar en la esfera interna de quien los sufre, no hay islas de autogestión que no tengan influencia sobre los demás.
Aunque la obligación de notificar las brechas de seguridad a las diferentes autoridades de control naciese como un instrumento de ayuda y apoyo a las empresas y organizaciones que las estuviesen sufriendo y de prevención para el resto, no debemos olvidar que en el caso concreto de las brechas de datos personales, la comunicación directa a las personas físicas afectadas las coloca en la posición en la que siempre deben estar, la salvaguarda de sus derechos y libertades, permitiéndoles de esa forma tomar las medidas que estén únicamente en su mano para minimizar el impacto de la brecha sobre las mismas. Además, la repercusión pública poco a poco va concienciando a la sociedad sobre los riesgos e importancia de una gestión adecuada de la seguridad en nuestra vida diaria.
Pero en muchos casos, desafortunadamente, solo el riesgo de sanción puede servir de incentivo para impulsar el cumplimiento del deber de notificar y comunicar sobre estas brechas de datos y su gestión.
La norma está planteada para que los responsables tengamos que entender cada brecha, gestionarla adecuadamente, determinar si se debe de notificar a la autoridad de control y, en su caso, comunicar a los interesados; todo ello adoptando las medidas necesarias para contenerla cuanto antes, con el cuidado de ir acreditando una labor impecable durante la crisis, y todo ello en el plazo límite de 72 horas.

Cuando la Agencia Española de Protección de Datos (en adelante, AEPD) publicó en 2018, en colaboración con el ISMSForum, la ´Guía para la gestión y notificación de brechas de seguridad´, ya se buscaba “facilitar la interpretación del RGPD en lo relativo a la obligación de notificar (…) de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa”.
Tras apenas tres años desde la publicación de aquella primera guía, la AEPD acaba de publicar en mayo de este 2021, la ´Guía para la notificación de brechas de datos personales´, orientada a proporcionar directrices generales en la notificación de brechas de datos personales y en la comunicación a los interesados, precisando plazos y aspectos concretos sobre el procedimiento para notificar y sobre el contenido de las notificaciones. Recomendamos a nuestros lectores que tengan por referencia la guía de la AEPD sobre todo para entender cómo y cuándo se debe tanto notificar a la AEPD como comunicar a los afectados por una brecha.

La presente ´Guía [práctica] para la gestión de brechas de datos personales´ (en adelante, la Guía), nace con la intención de complementar a la de la Agencia, retoma el espíritu de la primera en su objetivo de servir de ayuda y orientación a los responsables y encargados de los tratamientos en todo lo que se debe hacer para poder gestionar y notificar adecuadamente. Con ese fin hemos tratado de incluir la experiencia adquirida por los Delegados de Protección de Datos (en adelante, DPD), que han tenido que aplicar los artículos 33 y 34 del RGPD durante estos tres primeros años.

Para ello, hemos organizado la presente Guía conforme a las fases del ciclo de vida de una brecha: antes,
durante y después, es decir: planifica, gestiona, notifica y resuelve, para terminar con los análisis de los
casos prácticos más característicos a los que nos podremos enfrentar.


Esperamos que esta Guía nos ayude a conocer la posición y capacidad real que tienen cada una de
nuestras organizaciones ante estas inevitables y permanentes amenazas; revelando lo preparados que
realmente estamos para una gestión adecuada, nuestras fortalezas y las debilidades que deberemos
corregir en nuestras organizaciones, si queremos hacer de la gestión de las brechas de datos personales
una herramienta útil de mejora.

Leave a Reply

Your email address will not be published.