Legal

LOPDGDD: plan de contingencia ante pérdida de datos, así debe actuar tu empresa ante un incidente para cumplir con la ley

Carlos Roberto Cabello Carlos Roberto Cabello

Carlos Roberto trabaja desde hace 15 años con empresas en el área de sistemas y atención al cliente para ayudarles a mejorar su relación con las nuevas tecnologías.

Sage
6 minutos de lectura

En este post te contamos cómo debe ser un plan de contingencia para poder afrontar posibles brechas de seguridad en los datos personales.

  • ¿Qué es una brecha de seguridad? ¿Qué empresas están obligadas a notificarla y cuándo? Plazos legales
  • Plan de actuación en la empresa ante un incidente de seguridad: ¿qué medidas se deben adoptar y cuándo se da por cerrada la brecha?

Todas las empresas han sufrido o van a sufrir un incidente de seguridad. La cuestión no es tanto cómo, sino cuándo ocurrirá. A la vez, hay que estar preparados para minimizar el impacto y tener un plan de actuación para cumplir con la LOPDGDD, así como comunicar a la AEPD dicha brecha de seguridad.

La obligación de notificar las brechas de seguridad que afecten a los tratamientos de datos personales tiene un carácter universal, haciéndose extensible a todas aquellas entidades que lleven a cabo un tratamiento de datos de carácter personal. La clave está en cuándo considera la empresa que el incidente sufrido supone un riesgo para los derechos y libertades de las personas físicas, puesto que en caso afirmativo debe comunicarlo a la autoridad de control competente, en España, la AEPD.

¿Qué es una brecha de seguridad?

Se entiende por brecha de seguridad aquellas violaciones de seguridad que ocasionen pérdida, destrucción o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados, así como el acceso no autorizado a ellos. No obstante, no todos los incidentes de seguridad son brechas que afecten a los datos personales.

Pongamos un ejemplo, se publica una vulnerabilidad que está siendo explotada y que afecta a todos los ordenadores de la empresa, así como a nuestros servidores. Hay constancia de que nuestra empresa es vulnerable, pero dependemos de un fabricante para que implante una actualización que corrija el problema. En este caso, mientras los datos personales no se vean afectados, no deberíamos comunicarlo.

Otro ejemplo: la empresa sufre un ataque de ransomware y todos los datos se ven cifrados. Este caso es algo más complicado porque el atacante no ha accedido realmente a los datos, simplemente ha aplicado una capa de cifrado sobre los mismos para impedir que nosotros podamos verlo. Pero, a la vez, sí se puede producir la pérdida o destrucción de datos, especialmente si no tenemos copia de seguridad para restablecerlos. Por lo tanto, sí sería necesario comunicar a la AEPD dicho incidente.

El responsable del tratamiento de datos o en su defecto el Delegado de Protección de Datos, en caso de existir esta figura en la empresa, serán los encargados de informar la existencia del problema a la AEPD en el curso de las 72 horas siguientes a la detección excepto que sea improbable que implique un riesgo para los derechos y libertades de las personas físicas. Asimismo, en caso que sea probable un alto riesgo para los derechos y libertadas de las personas físicas, deberá además comunicar a los afectados el incidente sufrido.

¿Quién debe comunicar el incidente de seguridad y en qué plazo?

El responsable del tratamiento de datos o en su defecto el Delegado de Protección de Datos, en caso de existir esta figura en la empresa, serán los encargados de informar de la existencia del problema a la AEPD en el curso de las 72 horas siguientes a la detección. Asimismo, en caso necesario, deberá comunicar a los afectados el incidente sufrido.

¿Cómo debe actuar la empresa ante una brecha de seguridad?

El primer paso para la actuación ante una brecha de seguridad es previo a cualquier incidente. La empresa debe tener preparado y documentado los pasos a seguir cuando ocurre este percance.

  • Detección e identificación: la empresa debe detallar qué medidas tiene para la detección de problemas y su identificación. Se trata de diferenciar y clasificar los incidentes que han podido comprometer los datos personales o aquellos que no lo han hecho.
    • Será necesario clasificar el problema que puede ser de tipo bajo, cuando no afecta a un volumen importante de información a crítico, donde se ve afectado una gran cantidad de datos en un breve espacio de tiempo.
    • A la vez, hay que identificar la naturaleza de los datos personales afectados. No es lo mismo que afecte a datos de contacto que a datos financieros o de salud, biométricos, etc. Dependiendo del grado de protección, la empresa clasificará la brecha en una categoría u otra.
    • Por último, hay que ver cómo afecta a los interesados, si sufrirán alguna molestia, si puede generarles costes o denegación de servicios o pueden sufrir pérdidas patrimoniales por esta brecha de seguridad.
  • Una vez identificada la brecha y clasificada, es necesario llevar a cabo una respuesta que detenga el problema. De forma simultánea es necesario llevar a cabo la notificación ante la AEPD. El responsable del tratamiento puede apoyarse en personal informático especializado externo tanto para determinar las causas del problema como para el restablecimiento de los datos. Todas estas acciones deben quedar debidamente documentadas.
    • Una vez establecido el plan de respuesta, además de restaurar datos en caso de ser posible, es necesario determinar la causa para evitar que vuelva a ocurrir el mismo problema en un breve periodo de tiempo. Solo una vez contenido el problema debe procederse a restablecer datos y servicio.
  • Por último, hay que realizar un seguimiento y cierre del incidente. Para ello es necesario realizar un informe que documente, analice y valore el problema de seguridad y su impacto final

La empresa debe estar preparada para actuar ante un incidente de seguridad

Por todo esto es necesario que la empresa o, al menos, el responsable del tratamiento tenga elaborado un protocolo. Además, hay que tener en cuenta que los empleados pueden ser los primeros en detectar una anomalía o problema de seguridad y también que lo causen por desconocimiento.

Basta que un software de antivirus nos haya comunicado una alerta a la que no hemos prestado atención para que un incidente que podría haber resultados neutralizado a los pocos minutos se extienda y afecte a una cantidad de datos mucho mayor. Por eso, todos los empleados deben tener formación y conocer el protocolo a seguir ante un problema de seguridad.

No se trata de que todo el mundo ahora se convierta en un experto en ciberseguridad, pero sí que se preste la atención debida a aspectos que hasta ahora se dejaban en un segundo plano. Y aquí entramos desde una política de mesas limpias hasta la gestión de las credenciales de acceso o las conexiones remotas que se realizan sin las debidas medidas de seguridad.

Formación bonificada sobre RGPD. ¿A qué esperas?

Facilita a tus empleados el cumplimiento de la normativa RGPD con una formación a medida

  • ¡Impartida por profesionales especializados, en modalidad online y con diploma acreditativo!
Conoce nuestros cursos online
Sage

Siguiente lectura recomendada

Encuentra más artículos sobre estas temáticas