Millones de datos personales se dejan al descubierto cada día en empresas de primer nivel

"El plan de procedimiento de gestión de la brecha y la valoración del riesgo de la misma es esencial para garantizar una adecuada gestión del incidente de seguridad", aseguran los expertos de ELZABURU, Martín Bello y Cristina Espín.

Una de las claves del nuevo Reglamento europeo de Protección de Datos (RGPD), de aplicación el pasado 25 de mayo es la prevención para evitar brechas de seguridad, entendidas como los incidentes que causen destrucción pérdida o alteración de datos personales, sean accidentales o intencionados. Si anteriormente la normativa solo obligaba a notificar estas violaciones a los operadores de servicios de comunicaciones electrónicas disponibles al público, el RGPD extendió la obligación a todos los sectores y empresas que traten datos.

Los incidentes de seguridad suceden en empresas de primer nivel, dejando en algunos casos millones de datos de clientes al descubierto. Sin embargo, el despacho jurídico ELZABURU, especializado en la protección de activos intangibles, asegura que "en realidad, el número de brechas de seguridad no ha aumentado desde el 25 de mayo, sino que hasta ahora nuestra normativa no contemplaba la obligación de notificar una violación de seguridad, salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el RGPD extiende esta obligación a cualquier empresa que trate datos".

Los ejemplos de violaciones de seguridad en las empresas no se limitan a robos físicos de soportes como unUSB o la entrada de un hacker a nuestro sistema, sino también el envío accidental de una lista de correos que aparece visible en el e-mail, compartir una contraseña personal con un empleado o accesos no autorizados a los datos por una tercera parte. En todos estos casos, se produce una violación de protección de datos y, en algunos de los casos, hay obligación de notificar el incidente.

Pero, ¿qué hacer ante la posibilidad de que eso ocurra? Según la abogada de ELZABURU, Cristina Espín, lo más importante a tener en cuenta en cualquier empresa debería ser "(i) tener definido un procedimiento de gestión de brechas de seguridad; (ii) disponer de herramientas para valorar el riesgo del incidente; y (iii) saber si deberá notificar a la autoridad de control y a los interesados en función de las características del incidente y el riesgo derivado del mismo para los interesados."

La notificación se requiere cuando el incidente pueda provocar un riesgo para los interesados y debe hacerse en el plazo de 72 horas desde que se tiene certeza (constancia real) de que se ha producido. También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto y siempre que no se comprometa el resultado de una investigación en curso, en cuyo caso la comunicación se puede realizar más adelante, todo esto bajo la supervisión de la autoridad de control.

• La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención", asegura el abogado de ELZABURU, Martín Bello, "esto implica el establecimiento de todas las medidas destinadas a evitar las brechas de seguridad, la incorporación de impedimentos para la lectura y modificación no autorizadas de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos", añade.

Los abogados de ELZABURU recuerdan que El Comité Europeo de Protección de Datos, antiguo Grupo de trabajo del Artículo 29 elaboró una “Guía sobre notificación de las violaciones de seguridad”, que resuelve muchas de las cuestiones que generar dudas en este asunto. Asimismo, la AEPD publicó el 19 de junio de 2018 una “Guía para la gestión y notificación de brechas de seguridad” con directrices para detectar, gestionar y evaluar la notificación de brechas de seguridad.