Así deben actuar las empresas si hay una brecha de seguridad
La AEPD publica una guía para notificar incidencias con datos personales, algo que es obligatorio desde el pasado 25 de mayo
La Agencia Española de Protección de Datos (AEPD) presentó ayer en Madrid la Guía para la gestión y notificación de brechas de seguridad para empresas. Se dirige, sobre todo, a compañías que tramitan datos personales que pueden dañar los derechos y libertades de las personas físicas. El documento, elaborado en colaboración con el Centro Criptológico Nacional (CCN), ISMS Fórum e INCIBE, Instituto Nacional de Ciberseguridad, indica a las compañías cómo notificar las incidencias con este tipo de información, algo obligatorio desde la entrada en vigor de la nueva ley de protección de datos el pasado 25 de mayo.
Las herramientas publicadas se dirigen a "evitar las brechas de seguridad y, cuando no sea posible, minimizar sus daños", explica Alberto Hernández, director de INCIBE. Estas quiebras son "incidentes que ocasionan la destrucción, pérdida o alteración de datos personales", según el Reglamento General de Protección de Datos (RGPD). La guía también tiene como objetivo "ofrecer una vía de seguridad a las empresas en un momento muy delicado en el que hay mucha desinformación", según explicaba en rueda de prensa la directora de la AEPD, Mar España.
La responsable de la agencia ha destacado el deseo de la AEPD por "pasar de una cultura reactiva a otra más preventiva" mediante una guía práctica que se anticipa a posibles problemas y herramientas de detección temprana para que las empresas puedan gestionar sus incidentes. Desde la entrada en vigor de la nueva ley de protección de datos el 25 de mayo de 2018, todas las empresas que gestionan información personal deben notificar a la AEPD cualquier incidencia de seguridad en un plazo de 72 horas desde el conocimiento de la misma.
La agencia considera el documento como una gran ayuda para las compañías porque "tardan una media de entre dos y tres meses para darse cuenta de que hay un problema", subraya Carlos Sáiz, director del ISMS Fórum, la Asociación Española para el Fomento de la Seguridad de la Información. De hecho, "no están mostrando resistencia a notificar sus incidentes; al contrario, vemos que lo hacen rápidamente para comunicar que están trabajando en ello", señala el responsable. Desde el 25 de mayo, la AEPD ha recibido 37 notificaciones de incidencias en su seguridad, "ninguna crítica", recalca Andrés Calvo, coordinador de la Unidad de Evaluación y Estudios Tecnológicos de la agencia.
La AEPD ha recibido 37 notificaciones de incidencias en su seguridad, "ninguna crítica"
Para reconocer un incidente en materia de privacidad, la agencia recomienda contemplar síntomas como la saturación y ralentización de la red, así como disponer de sistemas de alerta. "Una vez detectada, anotamos el problema en el registro de brechas de la AEPD y la clasificamos", explica Calvo. Estas incidencias pueden suponer un nivel más alto o más bajo de riesgo y repercutir en mayor o menor medida sobre los derechos y libertades. Además, pueden impactar más o menos en el negocio de la empresa y tener un origen externo o interno; este último, normalmente, "es mucho más difícil de gestionar", comenta el coordinador. Un vez detectada, clasificada y notificada la brecha a través del portal digital de la AEPD, "es posible recuperar la tranquilidad".
Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades, es obligatorio informar, además de a la agencia pública del problema, a las personas afectadas, "con un lenguaje claro y sencillo y de forma concisa y transparente", recalca el RGPD. "Lo considero un proyecto positivo, en primer lugar, por crear certidumbre en un marco repleto de novedades, incluso para los que llevamos años trabajando en esto", recalca Carlos Sáiz: "Segundo, porque hay que proteger los intereses públicos y privados, y sobre todo los derechos de las personas".
