La AEPD presenta la Guía para la gestión y notificación de brechas de seguridad
El pasado 19 de junio, la Agencia Española de Protección de Datos (AEPD) presentó su ‘Guía para gestionar y notificar las brechas de seguridad’ según el Reglamento General de Protección de Datos (RGPD). «Se trata de la última que se publicará este año aunque es una de las más importantes» manifestó la directora de la AEPD, Mar España. El objetivo de la guía es facilitar la interpretación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados acerca de las brechas de seguridad en los datos personales que detecten. Todo, para que el cauce sea claro en la comunicación y se efectúe un seguimiento adecuado para la eliminación de las brechas de acuerdo al RGPD.
En la presentación, la directora estuvo acompañada de Luis Jiménez, director del Centro Criptológico Nacional, que sostuvo que el desarrollo de esta guía está en concordancia con los criterios del Esquema Nacional de Seguridad. Igualmente, Alberto Hernández, director del Instituto Nacional de Ciberseguridad (INCIBE) defendió que «esta guía favorece la cultura del compliance». Y Carlos Saiz, director del Data Privacy Institute ISMS Forum Spain destacó los acuerdos de colaboración pública-privada, que cada vez están más presente, por ejemplo, en materia de canales de consulta.
La detección rápida de las brechas, clave de la buena gestión
Por su parte, Andrés Calvo, coordinador de la Unidad de Evaluación y Estudios Tecnológicos de la AEPD realizó la presentación de la guía y puso de relevancia que una de las cuestiones más significativas y que conllevan mayor dificultad es la detección temprana de las brechas de seguridad en los datos personales. Si acudimos al RGPD, las quiebras de seguridad, se definen como «violaciones de seguridad de los datos personales» y son todos aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos. Bajo este escenario, la guía cobra un especial interés para las entidades y, dentro de ellas, para los responsables y encargados de la protección de datos.
Gestión de las brechas de seguridad
A tal efecto, cabe detenerse en el proceso de gestión de las brechas de seguridad que se expone en la guía clasificado en: preparación; detección e identificación; análisis y clasificación; proceso de respuesta y de notificación; seguimiento y cierre.
Respecto a la fase de preparación se refiere a las medidas técnicas y organizativas establecidas en la entidad para hacer frente a una posible brecha de seguridad. Por tanto, ha de implicar a todos los estamentos de la organización para una mejor coordinación con la ayuda de análisis de riesgos y evaluación de impacto, si procede, así como planes de respuesta si aparece un incidente. La detección e identificación precisará la definición de las situaciones que se consideren como quiebras de seguridad junto con la selección de las herramientas y mecanismos para lanzar alertas y suministrar descripción sobre la mismas. Así, se contemplan fuentes internas, es decir, el personal de la entidad que descubre el problema y lo pone en conocimiento del resto, o fuentes externas como puede ser, por ejemplo, los cuerpos y fuerzas de seguridad que avisan a la organización.
Dentro del análisis y clasificación se tratará de implantar criterios sobre el tipo de brechas que puedan acontecer de acuerdo al tipo de amenaza que representen, el contexto, o el alcance de afectación que podrían tener.
En cuanto al proceso de respuesta, abordará contener el incidente con las medidas concretadas con anterioridad y se deberá documentar de manera clara dicha situación. Posteriormente, conforme al RGPD, el responsable deberá notificar tanto a la propia AEPD como a los afectados la brecha de seguridad en el plazo de 72 horas desde que se detectó. Una notificación que solo habrá de producirse si la brecha supone un riesgo para los derechos y libertades de las personas físicas.
Ya en el seguimiento y cierre además de generar un informe completo sobre el suceso y su eliminación, se valorará la contratación de análisis forenses digitales o incluso la adopción de medidas procesales. No obstante, Mar España quiso poner el acento en que la notificación de las brechas de seguridad a la AEPD no implica necesariamente la imposición de sanciones, pues hay que delimitar bien la diligencia llevada a cabo por los responsables y encargados, así como las medidas de seguridad aplicadas.
Descargar ‘Guía para gestionar y notificar las brechas de seguridad’
