¿Cuándo debes notificar una brecha de seguridad en tu empresa o negocio?

Las brechas de seguridad deben ser notificadas

El RGPD establece que hay que hacerlo antes de que hayan pasado 72 horas desde que se detectó

Una de las novedades que introduce el Reglamento General de Protección de Datos, en aplicación desde el pasado 25 de mayo, es la obligación que tienen todas las empresas (incluidas las pymes) de notificar a la autoridad competente las brechas de seguridad que se pudieran haber producido en las mismas y afectar a datos personales de clientes, usuarios, proveedores o trabajadores. Es uno de los puntos básicos dentro del principio de proactividad que marca la normativa, es decir, que tenemos que adelantarnos a los posibles problemas y, si ya se han producido, solucionarlos y notificarlos lo antes posible. Concretamente, el Reglamento indica que hay que hacerlo tan pronto se haya tenido conocimiento del problema, y, en todo caso, antes de que hayan pasado 72 horas desde que se detectó.

En los últimos casos, hemos visto casos de grandes empresas (como, por ejemplo, Facebook) que han sufrido brechas de seguridad que han puesto en peligro los datos de sus clientes o usuarios. Pero no son las únicas. Todos los días se producen millones de brechas de seguridad en el mundo, así que no podemos pensar que a nosotros nunca nos va a pasar y debemos estar preparados.

Empecemos por el principio y definamos qué es una brecha de seguridad. El propio Reglamento General de Protección de Datos (RGPD) las define como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Aunque la normativa europea habla de “violaciones”, la Agencia Española de Protección de Datos opta por utilizar el término “brechas de seguridad” al traducirla.

Cuando detectemos un problema de seguridad en nuestra empresa, lo primero que debemos hacer es clasificarlo, para ver si es de carácter crítico o de bajo impacto, así como identificar el tipo de datos personales afectados, para valorar si existen riesgos para los derechos y libertades de los ciudadanos. Por ejemplo, uno de los puntos importantes es que si de la brecha de seguridad detectada se derivaran perjuicios graves para los interesados, también habrá que comunicarles a estos la incidencia en el plazo máximo de 72 horas, para que puedan tomar las medidas oportunas.

Hay muchísimos problemas de seguridad que podemos sufrir y no son para nada raros (malware o virus en nuestros equipos, ataques de ramsonware, pérdida o robo de documentación…), así que si queréis profundizar en cuáles son, podéis ojear la Guía para la Gestión y Notificación de Brechas de Seguridad elaborada por la Agencia Española de Protección de Datos.

Acto seguido, hay que contener y solucionar la brecha de seguridad lo antes posible. Si lo necesitas, podrás contar con personal especializado en seguridad. Si la empresa cuenta con Delegado de Protección de Datos, debe ser esta persona quién lidere los trabajos de contención de la brecha. El objetivo es darle solución lo antes posible y recuperar la normalidad.

Posteriormente, llega el momento de notificar el incidente ante la AEPD. Para ello, como hemos comentado, esta entidad tiene una extensa guía sobre este tema y modelos de notificación. Recordad: el plazo máximo desde la detección del problema es de 72 horas y en el formulario hay que identificar al responsable de tratamiento y ofrecer todos los datos relativos al problema.

Una vez cumplidos todos estos pasos, no podemos olvidarnos del problema y ya está. Hay que hacer un seguimiento del incidente y comprobación de las medidas adoptadas para así asegurarnos de que no volverá a ocurrir. Esto es importante porque, si no se toman las medidas oportunas y la empresa vuelve a sufrir el mismo problema, la AEPD podría emitir una sanción por incumplimiento del RGPD. Recordad que esta norma insiste en que tenemos que ser proactivos y evitar los posibles problemas, no sólo actuar cuando ya se han producido.

A modo bastante resumido, éstas son las claves a la hora de gestionar y notificar una brecha de seguridad en nuestra empresa. Desde aquí os animamos a leer la Guía de la AEPD para profundizar en este tema, que es sumamente importante, ya que las sanciones pueden ser considerables si se detecta que no se ha hecho una gestión eficiente y proactiva.