Brechas de seguridad de datos: ¿qué son y cómo debo actuar?

En este artículo pretendemos aclarar cómo protegerse ante una brecha de seguridad.

Brecha de seguridad de datos.
Brecha de seguridad de datos.

Los ciberdelincuentes se encuentran permanentemente al acecho de nuevas formas con las que atacar a los usuarios aprovechándose de su confianza y desconocimiento. Estos ataques pueden tener muchos objetivos y consecuencias para el usuario final. Sin embargo, es un práctica habitual que los ataques se centren en el robo de datos, un elemento de valor de las organizaciones. Por tanto, es hora de saber cómo protegerse ante una brecha de seguridad.

¿Qué es una brecha de seguridad de datos personales?

Antes de saber cómo actuar ante una brecha de seguridad, es necesario saber qué es y ser capaz de detectarlas e identificarlas.

La Agencia Española de Protección de Datos (AEPD) afirma que «una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal; que puede tener un origen accidental o intencionado y, además, puede afectar a datos tratados digitalmente o en formato papel».

Elena Davara, experta en protección de datos y socia de Davara & Davara, explica que «una brecha de seguridad puede comenzar por una mala configuración de la privacidad de nuestros dispositivos o por la elección de una mala (o, mejor dicho, de una poco segura) contraseña»

¿Qué hacer ante una brecha de seguridad?

En el tratamiento de un incidente de este tipo debe determinarse el nivel de riesgo que para los derechos y libertades puede suponer que se materialice una brecha de datos personales. El responsable del tratamiento debe estar preparado para afrontar esta posibilidad, estableciendo las acciones que se ejecutarán en caso de producirse.

Una parte importante es la implementación de mecanismos que permitan detectar las brechas de seguridad de datos personales.

Laura Davara, experta en protección de datos y socia de Davara&Davara, comenta que hay dos cuestiones fundamentales que juegan un papel fundamental a la hora de prevenir, gestionar y actuar ante una brecha de seguridad:

«La primera es el papel fundamental que ha de desempeñar el Delegado de Protección de Datos en el asesoramiento a la hora de cumplir con la obligación, en su caso, de notificar la brecha de seguridad ante la AEPD. Y, por supuesto, para valorar si es necesario comunicar la brecha de seguridad a los afectados. La segunda es la necesidad de establecer protocolos, circulares, procesos y acciones que permitan tanto prevenir, en la medida de lo posible, una brecha de seguridad como, en su caso, gestionar el impacto que pudiera tener una de ellas. También aquí es fundamental el principio de Accountability o, dicho con otras palabras, ser proactivos en el cumplimiento de la normativa y documentar todas las acciones que tomemos para ello».

Por su parte, Elena Davara recomienda consejos prácticos en materia de ciberseguridad, como «invertir tiempo en elegir las aplicaciones a las que hemos dado acceso, por ejemplo, a nuestro micrófono; la adquisición de conocimientos -y la puesta en práctica de los mismos- en materia de privacidad y ciberseguridad; la actualización del software de nuestros dispositivos; y utilizar distintas contraseñas -todas ellas robustas (combinando letras, números, mayúsculas, minúsculas y caracteres especiales)- para los diferentes servicios en los que nos damos de alta».

¿Cuándo notificar una brecha de seguridad?

En base al artículo 33 del RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de datos personales debe efectuar la
correspondiente notificación a la Autoridad de Control competente. En su caso,
debe realizarse a más tardar en las 72 horas siguientes, computando también
las horas trascurridas durante fines de semana y festivos.

¿A qué autoridad se debe notificar?

En el ámbito privado, los responsables del tratamiento afectado por la brecha deberán notificar a la Agencia Española de Protección de Datos:

  • Cuando su único establecimiento esté localizado en España.
  • Si tienen varios establecimientos en la UE, únicamente cuando el establecimiento principal esté localizado en España.
  • Si no tienen establecimiento principal en la UE, sólo en el caso de que hayan designado un representante en España.
  • Si no tienen establecimiento ni representante en la UE, en el caso de que la brecha de datos personales cuente con afectados en España.

En el ámbito público, las Administraciones Públicas deben notificar las brechas de datos personales a la AEPD a excepción del caso de las Comunidades Autónomas de Andalucía, Cataluña y País Vasco, cuando las brechas de datos personales se produzcan en entidades del sector público bajo su competencia, la Autoridad de Control a la que notificar será: