Varios meses después del inicio del período sancionable del Reglamento General de Protección de Datos (RGPD), se han hecho más relevantes los incidentes de seguridad referentes a los datos personales.
Hasta ahora, con la Ley Orgánica de Protección de Datos, no era obligatorio notificar las violaciones de seguridad salvo en el caso de los operadores de servicios de comunicaciones electrónicas disponibles al público, con el nuevo reglamento europeo (RGPD) es obligatorio notificar cualquier violación de seguridad. Por lo tanto no es que hayan aumentado des del 25 de mayo, sino que la nueva normativa obliga a notificar todos los incidentes de seguridad.
Violaciones de seguridad
Un incidente de seguridad puede llegar a dejar al descubierto millones de datos personales de clientes, proveedores, contactos, etc.
Algunos de los casos más comunes de violaciones de seguridad son:
– Pérdida o robo de un dispositivo (smartphone, ordenador portátil, tablet, USB, etc.).
– Fuga de información por un ataque en la red corporativa o en la página web.
– El envío accidental de una lista de correos visible.
– Accesos no autorizados a datos personales.
– Borrado accidental de ficheros que contengan datos de carácter personal.
Lo más importante referente a las violaciones de seguridad, es tener definido un procedimiento de actuación ante cualquier brecha de seguridad.
Las brechas o violaciones de seguridad deberán ser comunicadas al responsable en la mayor brevedad posible. Dentro de las 72 horas siguientes después de haber tenido constancia de dicha violación, posteriormente y en algunos casos se deberán comunicar a:
- La Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
- A los propios afectados. En los casos en los que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
El pasado mes de junio la Agencia Española de Protección de Datos (AEPD) publicó una “Guía para la gestión y notificación de brechas de seguridad”, este documento está pensado para ofrecer consejos de prevención y dispositivos de actuación a quien maneja datos dentro de una empresa.