La Agencia Española de Protección de Datos (AEPD) ha publicado este martes una infografía sobre cómo actuar en caso de que se produzca una brecha de datos personales.
Ante una brecha de seguridad se debe comunicar a los afectados cuando produzca un riesgo para los derechos y libertades de las personas físicas. La comunicación debe estar dirigida a cada uno de los afectados, mediante email, SMS, mensajería instantánea o correo postal. Si supone un esfuerzo desproporcionado o se desconoce con precisión quién ha podido verse afectado, se puede realizar un comunicado público que tenga la misma eficacia.
El contenido mínimo de la comunicación debe contener los siguientes puntos:
En primer lugar, la naturaleza del mismo tiene que dar respuesta sobre qué ha ocurrido (describir si se trata de un ciberincidente, ciberataque, envío de datos por error, pérdida de documentación/dispositivo, etc); a qué datos ha afectado (especificar si concierne a datos básicos, de contacto, email, usuario y contraseña, copias de DNI o pasaporte, contratos, facturas, perfiles, localizaciones, etc.); y de qué manera (concretar si es por un acceso ilegítimo, datos extraídos, revelados a terceros o públicos, alterados, eliminados, inservibles o no disponibles, etc.).
En segundo lugar, las consecuencias trata el impacto que puede tener sobre las personas (menoscabo en sus derechos fundamentales, imposibilidad de ejercer otros derechos, suplantación de identidad, imposibilidad de prestar correctamente un servicio, fraude, discriminación, daños físicos o psicológicos, entre otras); y las circunstancias agravantes (el destinatario de sus datos es la persona denunciada por usted, la contraseña comprometida se usa en otros servicios, los datos se han publicado de forma abierta en internet, etc.).
Otro apartado es el de las medidas tomadas y propuestas por el responsable del tratamiento para solucionar la brecha y minimizar las consecuencias sobre las personas.
Por último, la identificación comercial o pública del responsable del tratamiento y los datos de contacto del Delegado de Protección de Datos (DPD) u otro medio de contacto para ampliar la información.
