Las nuevas orientaciones sobre brechas de seguridad publicadas por el CEPD desarrollan mediante ejemplos las medidas que deberían tomarse. 

En un artículo reciente informábamos de que dos doctores en Francia habían sido multados por la CNIL a raíz de una brecha de seguridad, y se determinó que también habían incumplido el artículo 33 del RGPD al no informar a la autoridad de control sobre la misma. Las normas sobre brechas de seguridad han sido introducidas en el RGPD, que especifica que éstas deben comunicarse a la autoridad de control y, en algunos casos, también a los sujetos afectados. Mientras que las notificaciones de brechas de seguridad habían sido contextualizadas por el Grupo de Trabajo del Artículo 29 en octubre de 2017, dicha opinión no reflejaba de manera adecuada todos los elementos prácticos. 

El CEPD también consideró necesario publicar un documento complementario a las orientaciones ya existentes. Este documento contiene un conjunto de situaciones ficticias que se emplean como ejemplos, con la intención de explicar cómo se deberían tratar dichas situaciones si ocurriesen en la realidad, y ayudar así a los responsables del tratamiento a decidir cómo enfrentarse a las brechas de seguridad y qué factores considerar en las evaluaciones de riesgo. Estos ejemplos, preparados a conciencia, reflejan experiencias comunes compartidas por las diversas autoridades de control del EEE desde que comenzó a aplicarse el RGPD.   

Existen varios tipos de brechas de seguridad, y cada una de ellas deberá identificarse y tratarse de manera distinta. 

El artículo 4 (12) del RGPD define las brechas de seguridad o “violación de seguridad de los datos personales” como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. El documento del CEPD destaca tres tipos de brechas de seguridad, tal y como se había indicado en guías previas y orientaciones del Grupo de Trabajo del Artículo 29, a saber: “brecha de confidencialidad”, cuando se produce una divulgación no autorizado o accidental de los datos personales o tiene lugar un acceso de tales características a los mismos, una “brecha de integridad” que se da cuando hay una alteración no autorizada o accidental de los datos personales y “brecha de disponibilidad”, que describe una pérdida de acceso accidental o no autorizada a los datos personales o una destrucción de los mismos. 

Las brechas de seguridad pueden ser un indicio de debilidades en el sistema que necesitan atención y, en algunos casos, tales brechas podrían evitarse completamente con la adecuada previsión y preparación. 

Las brechas de seguridad pueden presentar varios problemas, pero son también un indicativo de debilidades en el sistema que precisan atención. Se recomienda que los responsables de datos se centren en la preparación previa a fin de evitar cualquier tipo de brecha de seguridad o minimizar o mitigar los riesgos asociados. Debido a la naturaleza de algunas de las brechas de seguridad, las consecuencias pueden ser irreversibles. Además, la raíz del problema que ha originado una brecha de seguridad debe identificarse a fin de llevar a cabo una evaluación complete de los riesgos asociados y posibles ataques. Esto permitirá al responsable determinar si las vulnerabilidades que desencadenaron el incidente están todavía presentes y por tanto aún suponen una amenaza, a fin de corregirlas de manera adecuada. 

Todos los responsables deberían establecer planes y mejores prácticas a implementar en caso de brecha de seguridad. Habrían de incluir líneas claras de notificación junto al personal responsable asignado a lo largo de todo el proceso de recuperación. Los responsables tendrían que asegurarse de que en caso de suceder una brecha de seguridad el personal está informado y sabría cómo afrontarlo. El CEPD propone formaciones que se impartan y actualicen de manera regular para tartar las últimas tendencias y alteras de ciber ataques así como otros incidentes de seguridad. Las formaciones deberían concienciar a los empleados y ayudarlos a identificar una brecha de seguridad para reconocer los pasos que se tienen que tomar como resultado. Las mejores prácticas de los responsables deberán ser preparadas con antelación para informar en consecuencia sobre los protocolos de cada faceta del tratamiento en cada una de las fases. Esto permitiría solventar las brechas de seguridad de manera más rápida y efectiva que lo que sucedería si no hubiese planes al respecto. 

Los responsables deberían notificar las brechas de seguridad a la autoridad de control competente sin dilación indebida, tras determinar que es posible que presente un riesgo para los derechos y libertades de los sujetos.  

Una brecha de seguridad debería llevar aparejada una notificación tan pronto como el responsable determine que es posible que desemboque en un riesgo para los derechos y libertades de los sujetos. No es necesario esperar hasta que se complete la investigación y se concreten todos los elementos de la brecha, incluido el alcance del riesgo, pues la autoridad de control puede ser notificada aún con la investigación en curso, y ser actualizada después. Si el responsable considera que el riesgo es poco probable y finalmente éste se materializa, la autoridad de control puede ejercitar su derecho a imponer las medidas correctivas que considera, incluidas sanciones. 

Las nuevas orientaciones sobre brechas de seguridad se ilustran en el documento publicado por el CEPD mediante diversos ejemplos, que abarcan distintos tipos de brecha de seguridad. 

Los ejemplos aportados en este nuevo documento del CEPD cubren varios tipos de brecha de seguridad, incluido ransomware, ataques de exfiltración de datos, errores humanos, dispositivos o documentos perdidos o robados, errores en el correo e ingeniería social. Dado que es muy importante ser capaz de identificar las brechas de seguridad y ofrecer orientaciones sobre cómo tienen que tratarse dentro de las instituciones, el CEPD ha generado esta guía con algunos ejemplos muy específicos para cada uno de los tipos de brecha de seguridad, así como las recomendaciones pertinentes. Además, el CEPD proporciona procedimientos técnicos y organizativos que pueden emplearse para prevenir tales brechas o mitigar su impacto. 

Mientras que cada uno de los ejemplos de las orientaciones del CEPD ofrece asistencia para que los responsables de datos evalúen sus propias brechas de seguridad, es también importante destacar que cualquier cambio en las circunstancias de los casos descritos pueden resultar en niveles de riesgo diferentes o más significativos, y requerir medidas distintas o adicionales qué sólo pueden determinarse mediante la adecuada evaluación de riesgos. Por ejemplo, el documento desarrolla dos tipos diferentes de correo postal enviado a la dirección equivocada, sin embargo, uno de los casos se refería a pedidos de dos clientes que se habían cruzado por error y se avisaba a la compañía de reparto para que se enviase a los destinatarios correctos. Mientras que esto es una brecha de seguridad, puede considerarse de riesgo bajo. Este ejemplo no requeriría notificación a la autoridad de control, sin embargo la notificación a los sujetos es inminente, pues las medidas de seguridad propuestas incluyen una comunicación con cada uno de los consumidores para solicitarles destruir o borrar todas las copias de cualquier factura que pueda contener datos de la otra persona. 

¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.