Un trimestre después de la aplicación del Reglamento General de Protección de Datos (RGPD), que entró en vigor el pasado 25 de mayo, se han hecho más relevantes los incidentes de seguridad en datos personales ocurridos en empresas de primer nivel. Y no es que porque hayan aumentado en número, sino porque la normativa europea obliga a notificarlos si se dan ciertos requisitos.
Y es que una de las claves del nuevo RGPD es la prevención para evitar brechas de seguridad, es decir, los incidentes que causen destrucción, pérdida o alteración de datos personales, sean accidentales o intencionados.
Hasta ahora nuestra normativa no contemplaba la obligación de notificar una violación de seguridad, salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el RGPD extiende esta obligación a cualquier empresa que trate datos, aclara el despacho jurídico ELZABURU, especializado en la protección de activos intangibles.
Violaciones de seguridad en grandes empresas
Cuando una empresa de primer nivel sufre un incidente de seguridad puede llegar a dejar millones de datos de clientes al descubierto.
Los casos de violaciones de seguridad en las empresas no se limitan a robos físicos de soportes como un USB o la entrada de un hacker al sistema, sino también se producen con el envío accidental de una lista de correos que aparece visible en el e-mail, al compartir una contraseña personal con un empleado o que se produzcan accesos no autorizados a los datos por una tercera parte.
En todos estos casos, se produce una violación de protección de datos y, en algunos de los casos, hay obligación de notificar el incidente.
Pero, ¿qué hacer ante la posibilidad de que eso ocurra?
Según la abogada de ELZABURU, Cristina Espín, lo más importante a tener en cuenta en cualquier empresa debería ser: «Tener definido un procedimiento de gestión de brechas de seguridad; disponer de herramientas para valorar el riesgo del incidente; y saber si deberá notificar a la autoridad de control y a los interesados en función de las características del incidente y el riesgo derivado del mismo para los interesados.»
Notificaciones y prevención
La notificación se requiere cuando el incidente pueda provocar un riesgo para los interesados y debe hacerse en el plazo de 72 horas desde que se tiene la constancia real de que se ha producido.
También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto y siempre que no se comprometa el resultado de una investigación en curso, en cuyo caso la comunicación se puede realizar más adelante, todo esto bajo la supervisión de la autoridad de control.
«La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención», asegura el abogado de ELZABURU, Martín Bello.
Esto implica, dice Bello, que las empresas establezcan todas las medidas destinadas a evitar las brechas de seguridad, incorporar impedimentos para la lectura y modificación no autorizadas de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos».
Estos expertos recuerdan que el Comité Europeo de Protección de Datos, antiguo Grupo de trabajo del Artículo 29 elaboró una “Guía sobre notificación de las violaciones de seguridad”, un documento que resuelve muchas de las cuestiones que generar dudas en este asunto.
Asimismo, la AEPD publicó el 19 de junio de 2018 una “Guía para la gestión y notificación de brechas de seguridad” con directrices para detectar, gestionar y evaluar la notificación de brechas de seguridad.
