D’acord amb la nova normativa de protecció de dades s’ha introduït l’obligació de notificar a l’Agència Espanyola de Protecció de Dades (AEPD) les “bretxes de seguretat” que afectin dades personals que estigui tractant la seva empresa. Tingui en compte les seves obligacions per si en alguna ocasió sofreix una incidència d’aquest tipus.
Una bretxa de seguretat pot tenir una sèrie d’efectes adversos considerables en les persones, susceptibles d’ocasionar danys i perjudicis físics, materials o immaterials.
El que subjau a aquesta obligació de notificació és una obligació més àmplia i que emplaça al responsable a implementar un procediment de gestió d’incidents de seguretat que afectin dades de caràcter personal, el resultat visible a l’exterior del qual són les notificacions tant de les bretxes de seguretat com de les accions i decisions relatives a aquestes violacions.
Font: AEPD
Què és una bretxa de seguretat de dades personals?
Per saber actuar davant una bretxa de seguretat, el primer que cal és saber què és i ser capaç de detectar-les i identificar-les.
Una bretxa de seguretat és un incident de seguretat que afecta a dades de caràcter personal. Aquest incident pot tenir un origen accidental o intencionat i a més pot afectar dades tractades digitalment o en format paper. En general, es tracta d’un succés que ocasiona destrucció, pèrdua, alteració, comunicació o accés no autoritzat a dades personals.
Per tant:
- Existirà una bretxa de seguretat si, per exemple, un dels seus empleats extravia o sofreix el robatori d’un ordinador portàtil en el qual hi ha emmagatzemades dades personals tractades per la seva empresa. També n’hi haurà si es produeix un accés no autoritzat a les seves bases de dades, o l’esborrat accidental de dades.
- En canvi, si en l’ordinador extraviat no hi havia dades personals (sinó altres informacions de la seva empresa), no hi haurà bretxa de seguretat i no haurà de complir les obligacions que s’indiquen a continuació.
Què fer?
El responsable de tractament ha d’estar preparat per a aquesta possibilitat, ha d’establir qui i quines accions s’executaran en cas de produir-se. Per a això, el primer és ser conscient de quines dades personals s’estan tractant, amb quins mitjans i els riscos que pot haver-hi. Així, una part molt important és implementar mecanismes que permetin detectar les bretxes de seguretat de dades de caràcter personal.
El responsable de tractament ha de posar en marxa el pla d’actuació, concretant tasques específiques que permetin resoldre la bretxa, minimitzar les seves conseqüències i evitar que torni a succeir en el futur.
A més, quan se sofreix una bretxa de seguretat s’ha de recaptar una sèrie d’informació que serà molt útil per a decidir quines mesures prendre i quines accions s’emprendran per a complir els objectius anteriors i per a valorar la necessitat de notificar a l’autoritat de control i afectats.
Informació que s’ha de recollir:
- Mitjà pel qual s’ha materialitzat la bretxa, és a dir, què ha ocorregut: s’ha perdut un dispositiu amb dades personals, s’ha produït un robatori, s’han publicat dades personals per error o s’ha enviat a un destinatari equivocat, un ransomware ha xifrat un dispositiu, s’ha produït una intrusió no autoritzada en un sistema d’informació amb dades personals, un empleat ha estat víctima de phishing, etc.
- Origen de la bretxa, si ha estat interna o externa i la seva intencionalitat.
- Categories de dades: si són dades bàsiques com a credencials o dades de contacte o si bé són categories especials com puguin ser dades de salut.
- Volum de dades afectades, tant en nombre de registres afectats com en nombre de persones afectades.
- Categories d’afectats: clients, empleats, estudiants, abonats, pacients, etc. És important identificar si es tracta de col·lectius vulnerables.
- Informació temporal de la bretxa: quan es va iniciar, quan s’ha detectat i quan es va resoldre o resoldrà la bretxa de seguretat.
Notificació a l’AEAPD i comunicació als afectats
Si en alguna ocasió es produeix una incidència d’aquest tipus en la seva empresa, ha de notificar-la sense dilació a l’AEPD (ha de fer-ho en el termini màxim de 72 hores des que en tingui coneixement) a través d’un formulari que existeix al web de l’Agència. La llei només l’exonera de realitzar aquesta notificació en casos concrets en els quals no existeixi risc per al titular de les dades (per exemple, perquè les dades afectades ja eren públiques o estan encriptades).
Si a més comporta un alt risc haurà de comunicar-se sense dilació indeguda als afectats a través del mitjà que se solgui utilitzar per a comunicar-se amb ells, amb un llenguatge clar i senzill. Això permetrà que els afectats puguin reaccionar com més aviat millor i prendre les mesures oportunes, perquè en aquesta comunicació se’ls haurà d’explicar clarament el succeït i les mesures recomanades perquè puguin minimitzar o eliminar les conseqüències negatives que pugui tenir la bretxa sobre ells.
En el cas que la bretxa la sofreixi un encarregat del tractament, n’haurà d’informar el responsable del tractament, que haurà de valorar si es notifica a l’AEPD i si es comunica als afectats. En tot cas, els detalls sobre les responsabilitats de responsable i encarregat davant una bretxa de seguretat han de quedar expressament detallats en el contracte mitjançant el qual s’estableix l’encàrrec del tractament.
Independentment de si s’ha notificat a l’AEPD o no, o si s’ha informat els afectats, hem de portar un registre de les bretxes de seguretat que sofrim, en el qual es justifiqui les decisions que s’han pres. Aquest document pot ser exigible en qualsevol moment per part de l’AEPD.
L’AEPD ha publicat una guia per a la gestió i notificació de bretxes de seguretat dirigida a responsables de tractaments de dades personals que puguin estar afectats per bretxes de seguretat de les dades, amb l’objectiu de facilitar la interpretació del RGPD quant a l’obligació de notificar a l’autoritat competent i, si escau, als afectats de manera que la notificació es faci pel canal adequat, contingui informació útil i precisa a efectes estadístics i de seguiment, i s’adeqüi a les noves exigències del RGPD.
Vegeu la guia: https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf