Pasos para notificar una brecha de seguridad

Avatar

Este primer semestre de 2021 la Agencia Española de Protección de Datos (AEPD) ha gestionado más de 700 brechas de datos notificadas o incidentes de seguridad, un incremento sustancial respecto a los años anteriores, por lo que para facilitar la notificación por parte de las organizaciones afectadas, el pasado 24 de mayo la AEPD ha actualizado su “Guía para la notificación de brechas de datos personales” de 2018.

La base legal que fundamenta la obligatoriedad de dicha notificación es el art. 33 y 34 del Reglamento (UE) 2016/679 General sobre Protección de Datos de Carácter Personal, y el art. 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, para los operadores de servicios de comunicaciones electrónicas disponibles al público.

Desde A2SECURE resumimos los pasos básicos para entender y saber gestionar este tipo de incidentes, pero recordando que el objetivo principal por parte de quien a sufrido una brecha de seguridad es focalizar sus esfuerzos en evitar y mitigar las posibles consecuencias:

  • Identificar si el incidente es una brecha de datos:  Brecha de datos es toda aquella violación de seguridad que provoca la destrucción, pérdida, alteración, comunicación o acceso no autorizados a datos de carácter personal. El origen puede ser tanto accidental como intencional.

En la actualidad la mayoría de ellas son por un ataque externo siendo el “ransomware” la amenaza más frecuente, es decir, el bloqueo ilegal del acceso a parte del sistema y la solicitud de un rescate a cambio de los archivos o acceso.

  • Valorar la necesidad de notificación a la AEPD: Es obligatorio cuando el incidente pueda producir daños sobre los derechos y libertades de las personas físicas cuyos datos son objeto del tratamiento – Valorar el nivel de riesgo.

No se notifica cualquier tipo de riesgo o un riesgo para la organización, sino específicamente el riesgo para los derechos y libertades de las personas afectadas por la brecha, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales.

  • Plazo general para notificar la brecha de datos desde su conocimiento efectivo a:
      1. AEPD: Como máximo, en las 72 horas siguientes, en caso contrario la notificación deberá ir acompañada de indicación de los motivos de la dilación.
      2. Interesados/afectados: Sin dilación indebida si supone un alto riesgo para los derechos y libertades de las personas físicas afectadas (la ley regula cómo hacerlo, el contenido mínimo de dicha comunicación y 3 excepciones de cuando no será necesaria). No obstante nuestra valoración en negativo, la AEPD podrá valorar a posteriori la conveniencia de proceder a notificar directamente a los afectados.
  • Obligaciones: 
      1. Responsable de tratamiento (Organizaciones públicas y privadas): Evaluar el proceso de gestión de brechas, sus consecuencias, implantar medidas correctoras y notificar a la Autoridad de Control y a los afectados si fuese necesario.
      2. Encargado de tratamiento: Informar y ayudar al responsable en la gestión de las brechas de datos que afecten al tratamiento.
      3. Delegado de Protección de Datos (DPO): Informar y asesorar al responsable o encargado de tratamiento y actuar como punto de contacto con la Autoridad de Control y personas interesadas afectados. 
  • Contenido mínimo de la notificación. Si no fuera posible facilitar la información simultáneamente, la información se facilitará de manera gradual sin dilación indebida:
      1. Si se trata de una nueva notificación o modificación de una ya existente.
      2. Tratamiento, Tipología y Categorías de los datos afectados.
      3. Comunicación a los afectados (si aplica).
      4. Origen e información sobre la brecha de seguridad.
      5. Medios de detección y consecuencias de la brecha.
      6. Medidas de seguridad preventivas y de contingencia ante un incidente.
      7. Identificación de los intervinientes.
  • No se considera una brecha de datos, cuando:
    1. no afecte a datos de carácter personal; 
    2. no afecte al tratamiento de los datos;
    3. sea un tratamiento doméstico o en la esfera privada.
  • Modo: De forma telemática mediante el formulario de notificaciones de brechas de datos personales disponible en la Sede Electrónica de la AEPD. A excepción de las brechas de datos personales que se produzcan en entidades del sector público bajo la competencia autonómica de Andalucía, Cataluña y País Vasco, que tiene su propia Autoridad de Control. 

Nota aclaratoria: 

  1. No todos los incidentes de seguridad son necesariamente brechas de datos de carácter personal;
  2. No sólo los ciberincidentes pueden ser brechas de datos;
  3. No toda acción que suponga una vulneración de la normativa de protección de datos (LOPD – RGPD) se considera una brecha de datos.
  4. Por regla general la obligación de notificar es cuando se tiene un establecimiento en España, o designado un representante, o no teniendo establecimiento en la UE hayan afectados en el territorio.
  5. Diferencias entre notificación de la brecha de datos y denuncia de protección de datos: 
  • Notificación: Comunicación a través del formulario de notificación de brechas de la AEPD accesible en su sede electrónica por parte de la organización afectada por el incidente o vinculado a la misma. No hay finalidad sancionadora, sino la efectiva protección de los derechos y libertades de los individuos, contribuyendo con las notificaciones a concienciar sobre las obligaciones de los responsables y a mejorar la investigación sobre los ataques de ciberseguridad a escala global.
  • Denuncia: Con la finalidad de resolver una posible violación de la LOPD-RGPD y la imposición de una sanción o indemnización. Se presentará, (1) ante el canal de denuncias de la AEPD cuando afecta a la vulneración de los derechos y libertades de los individuos; (2) ante las Fuerzas y Cuerpos de Seguridad del Estado y/o instancias judiciales para denunciar o reclamar por una posible vulneración de derechos por parte de un tercero.

En todo incidente de una organización, tanto si afecta o no a datos personales, el responsable del tratamiento deberá documentar internamente cualquier violación de la seguridad, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Esta documentación permitirá a la autoridad de control competente verificar, si es necesario, el cumplimiento de la ley, por lo que en estructuras empresariales medias es absolutamente recomendable tener una política de identificación y gestión de incidentes de seguridad.

Pero la conclusión final es que si en nuestra organización ha habido un incidente de seguridad, es una señal de que algo no estamos haciendo bien. Desde A2SECURE nos preocupamos por la seguridad e integridad de los activos inmateriales de la empresa, por lo que ante cualquier brecha o tentativa, recomendamos ser proactivos y reforzar nuestras medidas de una forma preventiva, con acciones tales como:

  • Pentest: Test de intrusión periódicos.
  • Análisis de vulnerabilidades.
  • Forensic & Security: Colaboración en la gestión de incidentes.
  • Gestión de identidades para control de accesos.
  • Políticas y procedimientos de seguridad.
  • Security Office & DPO Services
  • Operaciones de seguridad.
  • Data Governance
  • Formaciones periódicas a los empleados.

 

Autor: Carles Basteiro-Bertolí

Leave a Comment

vulnerabilidades-contenedores-k8s