Cómo manejar una brecha de datos: pasos esenciales para tu empresa

Brecha seguridad datos

No te estamos descubriendo nada nuevo si te decimos que, a día de hoy y teniendo en cuenta la omnipresencia de la tecnología, estamos en un constante riesgo de ser víctimas de un ciberataque o que, simplemente por un descuido, la información de tu empresa puede perderse o revelarse a quienes no se debe (por ejemplo, si un empleado de tu organización pierde su portátil profesional con información de tus clientes). Pues bien, desde el punto de vista de protección de datos, esto es lo que se conoce como una brecha de seguridad o incidente de seguridad.

Más concretamente, el Reglamento General de Protección de Datos (“RGPD”) define las brechas de seguridad como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Pasos a seguir cuando se detecta una brecha de seguridad en la empresa.

¿Qué hay que hacer a partir de momento en que descubrimos o sospechamos que ha habido una brecha de seguridad en la empresa? Te lo contamos en 6 pasos:

Paso 1: Detección e identificación del incidente

La detección de brechas de seguridad debe establecerse como un procedimiento continuo, que debe permitir la identificación de eventos que impliquen incidentes de seguridad (por ejemplo, mediante un sistema de alertas en caso de detección de comportamientos anormales en los sistemas de la empresa).

El incidente de seguridad se clasificará en una de las siguientes categorías: i) incidente de confidencialidad (divulgación no autorizada de datos personales o acceso no autorizado a los mismos); ii) incidente de integridad (alteración no autorizada de datos personales); iii) incidente de disponibilidad (destrucción o pérdida accidental o ilícita de datos personales).

Paso 2: Recopilación y análisis de la información relacionada con la brecha

Es imprescindible valorar con la mayor precisión posible el nivel de daño y peligrosidad que el incidente puede causar a los derechos y libertades de los afectados.

Paso 3: Elaboración de un plan de respuesta

El plan de respuesta debe prever la actuación inmediata de las primeras medidas de contención, tratando de limitar al máximo los daños causados por el incidente.

Durante esta fase de respuesta se intentará contener el incidente, tras lo cual se erradicará la situación generada por el mismo y se completarán las acciones de recuperación oportunas.

Paso 4: Notificación de la brecha de seguridad a la autoridad competente

En el caso de que el incidente de seguridad constituya un riesgo para los derechos y libertades de las personas físicas afectadas, el responsable del tratamiento lo notificará a la autoridad de control competente en un plazo de 72 horas después de haber tenido conocimiento de su existencia.

Al menos una notificación inicial debe hacerse en este plazo, pudiendo la empresa aportar nuevas informaciones durante un plazo de 30 días desde la notificación inicial.

En el caso de la que empresa actúe como encargada del tratamiento, deberá facilitar al responsable del fichero toda la información necesaria para poder cumplir con sus obligaciones en tiempo y forma. El encargado del tratamiento podrá realizar la notificación en nombre del responsable del tratamiento cuando así se estipule en un contrato o relación jurídica.

Paso 5: Comunicación de la brecha a las personas afectadas

Cuando sea probable que el incidente de seguridad entrañe un alto riesgo para los derechos y libertades de los afectados, el responsable del tratamiento deberá comunicarles la existencia de la brecha de seguridad sin dilaciones indebidas.

Esta comunicación deberá hacerse en un lenguaje claro y sencillo, e incluirá información sobre la naturaleza del incidente y sus consecuencias. La comunicación se realizará, preferentemente y siempre que sea posible, directamente al afectado, ya sea por teléfono, correo electrónico o correo postal, o por cualquier otro medio que el responsable considere adecuado.

Paso 6: Registro interno

La empresa registrará internamente la brecha de seguridad y documentará los pasos anteriores. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de la normativa por parte de la empresa.

¿Tienes alguna duda sobre cómo manejar una brecha de datos en tu empresa?

Si todavía no cuentas con un protocolo de gestión de brechas de seguridad en tu empresa, o tu equipo no ha recibido la formación necesaria sobre protección de datos, el equipo de abogados de Metricson cuenta con una amplia experiencia internacional y conocimiento en la materia.

Si quieres más información sobre nuestros servicios, puedes enviarnos un mensaje a contacto@metricson.com o través de nuestro formulario de contacto en nuestra página web.

Artículo escrito por:

Sara Hervías MetricsonSara Hervías

Abogada especialista en privacidad y contratación tecnológica

sara.hervias@metricson.com

Sobre Metricson

Con sedes en Barcelona, Madrid, Valencia y Sevilla, y una destacada proyección internacional, Metricson es una firma líder en servicios legales orientados a empresas innovadoras y tecnológicas, con una sólida especialización en privacidad y seguridad. Desde su fundación en 2009, hemos brindado asesoramiento a más de 1.400 clientes de 15 países diferentes, entre los que se encuentran startups, inversores, grandes empresas, universidades, instituciones y gobiernos. Además, en Metricson somos expertos en identificar y gestionar brechas de seguridad en las empresas, ayudándolas a protegerse frente a riesgos y amenazas.

Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla

    Responsable: Metricson S.L.P.U.
    · Finalidad: Resolver tu petición o duda.
    · Legitimación:  Interés legítimo en responder cualquier cuestión planteada por ti.
    · Destinatarios: Prestadores de servicios tecnológicos, como encargados del tratamiento, que seguirán siempre nuestras instrucciones.
    · Derechos: Puedes acceder, rectificar, suprimir o solicitar la portabilidad de tus datos personales, así como oponerte o limitar el tratamiento de los mismos dirigiéndote a privacy@metricson.com.