La Agencia Española de Protección de Datos (AEPD) ha publicado esta semana la “Guía para la gestión y notificación de brechas de seguridad”. Con esta séptima publicación, la máxima autoridad española en Protección de Datos cierra su serie de guías creadas con el propósito de facilitar la adaptación de organismos y empresas al RGPD.

La guía detalla en sus 56 páginas todos los detalles sobre cómo se debe gestionar una brecha de seguridad desde el punto de vista del responsable de tratamiento, colectivo al que va dirigida.

Pero ¿qué es una brecha de seguridad?

El nuevo reglamento europeo define violaciones de seguridad como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La creciente dependencia de los servicios digitales para casi cualquier aspecto de nuestras vidas ha convertido a las brechas de seguridad en uno de los principales problemas a los que deben hacer frente los responsables de tratamiento. El acceso a bases de datos de clientes por parte de hackers para su posterior comercialización en el mercado negro o casos de ciberguerra entre países en los que se ataca a infraestructuras básicas constituyen casos de brechas de seguridad cuya gravedad y frecuencia va en aumento.

¿Qué ha cambiado con el RGPD respecto a las brechas de seguridad?

El RGPD ha introducido cambios significativos para la gestión que los organismos y empresas deben hacer de las brechas de seguridad. A partir de la entrada en aplicación del nuevo reglamento el pasado 25 de mayo, ya es obligatorio notificar a la AEPD cualquier brecha de seguridad en un plazo menor a las 72 horas, algo que antes no ocurría.

Además, si la brecha de seguridad se considera de alto riesgo, el encargado de tratamiento tendrá el deber de comunicárselo también a los propios sujetos cuyos datos personales se han visto comprometidos. El riesgo dependerá de la importancia y el volumen de los datos comprometidos, de su grado de sensibilidad, de su capacidad para identificar individuos y de la severidad de las consecuencias que puedan acarrear entre otros.

El documento recoge sin embargo una importante puntualización respecto a las notificaciones de brecha de seguridad ya que éstas no serán necesarias “cuando el responsable pueda demostrar, de forma fehaciente, que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas”.

La Guía recoge en su Anexo II el formulario oficial de notificación de brecha de seguridad que los responsables de tratamiento deberán usar para comunicarse con la AEPD.

Una guía con muchas colaboraciones

La creación de la guía sobre brechas de seguridad de la AEPD ha contado con la colaboración de otros organismos públicos especializados en seguridad como el Centro Criptológico Nacional (CCN), el Instituto Nacional de Ciberseguridad de España (INCIBE) y la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum).

La última guía de la serie sobre la adaptación al RGPD

La guía sobre brechas de seguridad se une al Listado de cumplimiento normativo y a las guías para Responsables de tratamientos de datos personales, Cumplimiento del deber de informar, Elaboración de contratos entre responsables y encargados, Análisis de riesgos y Evaluaciones de impacto, para completar la oferta de publicaciones de referencia de la AEPD sobre el RGPD.