El Comité Europeo de Protección de Datos (CEPD) ha publicado un borrador de directrices suplementarias sobre cómo responder y gestionar las brechas de protección de datos. Este documento tiene como objetivo suplementar a la guía sobre el tema publicada por el comité en octubre de 2017. La nueva publicación busca dar una respuesta práctica a los problemas que generan las brechas de protección de datos.
Las nuevas directrices del CEPD abordan los tipos de brechas más comunes tales como el ransomware, la pérdida de datos tanto intencionada como accidental y el extravío o robo de aparatos que almacenan datos de carácter personal. En todos estos casos, el responsable de tratamiento deberá documentar la brecha de seguridad, sus efectos, y las medidas adoptadas para su resolución. También se debe evaluar la necesidad o no de comunicar la brecha a las autoridades y a las personas afectadas de acuerdo con lo estipulado por ley.
El CEPD proporciona recomendaciones específicas para cada categoría de brecha de protección de datos. Por ejemplo, en el caso de un empleado que se lleve datos personales tras abandonar una empresa para utilizarlos posteriormente en su nuevo trabajo, el CEPD aconseja introducir cláusulas en el contrato de trabajo que prohíban expresamente este tipo de acciones. También sugiere evaluar la peligrosidad e intenciones de los empleados que expresen su deseo de abandonar la empresa de modo que se considere limitar su acceso a las bases de datos. El CEPD reconoce, sin embargo, la dificultad de casos de este tipo en los que el problema deriva de la mala fe del empleado.
Este es solo un ejemplo de los muchos que se pueden encontrar en esta guía.
El CEPD aconseja a las empresas que tengan procedimientos siempre preparados para la gestión brechas de seguridad, con líneas de reporte claras y personas responsables bien definidas que se ocupen de cada elemento del proceso de recuperación.
Las directrices están abiertas a comentarios hasta el 2 de marzo de 2021.
El borrador completo de directrices del CEPD sobre gestión y prevención de las brechas de seguridad de datos personales se puede consultar aquí.
