¿Cómo afecta una brecha de seguridad a tu entidad?

Las brechas de seguridad constituyen importantes perjuicios en los derechos de los afectados y la reputación y recursos de las empresas que las padecen.

El Reglamento General de protección de datos, regula este tipo de supuestos en sus artículos 33 y 34, siendo este, junto con las guías y resoluciones emitidas por las autoridades de control, el marco jurídico para notificar y comunicar, en su caso, una brecha de seguridad.

En este artículo repasaremos los pasos a seguir y las acciones que puede implementar su empresa para reducir los riesgos de que se produzcan brechas de seguridad o limitar las consecuencias de estas.

Pero antes de continuar…

¿Qué entendemos por una brecha o violación de seguridad?

El RGPD las define como:

todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Es decir, se considerarán como tales, situaciones en las que se de cualquiera de las situaciones expuestas, como, por ejemplo, perder un pen drive que contenga datos personales, destruir documentación (en papel o digital) que debamos conservar, enviar un correo con datos personales a alguien que no deba acceder a esa información, hasta un ciberataque que nos deje sin acceso a los datos, los destruya o los robe. Estas situaciones son algunos de los ejemplos constitutivos de una brecha de seguridad, pero no son los únicos casos.

Por el contrario, no tendrán consideración de brecha de datos personales aquellos incidentes que:


  • No afecten a datos personales, es decir, a datos que no sean de personas físicas identificadas o identificables. No significa que no sean importantes o graves si no afectan a datos personales, pero no son relevantes a efectos de la normativa de protección de datos.

  • No afecten a tratamientos de datos personales llevados a cabo por un responsable o un encargado.

  • Ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.

Por lo tanto, no todos los incidentes de seguridad son necesariamente brechas de seguridad de datos personales.

Y cuando ocurre una brecha de seguridad ¿Qué pasos debemos dar?

  1. El primer paso para solventar una brecha de seguridad será contener la brecha e ir documentando lo sucedido, esta tarea es de carácter obligatorio, esto nos permitirá acreditar los pasos que hemos dado y poder acreditarlo ante una posible investigación de la autoridad de control. Este proceso debe incluir los hechos relacionados con la brecha, sus efectos y las medidas correctivas adoptadas.

2. El segundo paso sería analizar tan pronto como se tenga conocimiento de la brecha, la necesidad de comunicar el incidente a la autoridad de control, para valorar dicha necesidad será clave identificar si la brecha puede constituir un riesgo para los derechos y libertades de las personas afectadas. Para identificar si la brecha constituye o no un riesgo debemos tener en cuenta los siguientes factores:

      • Tipo de brecha de datos personales.
      • Naturaleza, carácter sensible y el volumen de datos personales.
      • Facilidad de identificación de las personas.
      • Gravedad de las consecuencias para los derechos y libertades de las personas.
      • Características particulares del responsable de tratamiento.
      • Número de personas afectadas.
      • Consideraciones generales.

3. El tercer paso una vez identificada la necesidad de comunicar el incidente a la autoridad de control será hacerlo en un plazo no superior a 72 horas desde que se tiene constancia de la misma, debe hacerse sin dilación indebida, es decir, si podemos notificarlo incluso antes, debemos hacerlo.

El plazo de 72 horas empieza a calcularse desde el instante en que el responsable de tratamiento tenga constancia de que el incidente de seguridad ha afectado a datos personales, incluyendo las horas trascurridas durante fines de semana y días festivos.

En caso de que tengamos que hacer la notificación. Esta deberá contenerlos siguientes puntos:


  • Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del que pueda obtenerse más información.

  • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

  • Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4. El cuarto paso, si el incidente ha resultado un riesgo para los derechos y libertades de los interesados, es notificar a los afectados sobre el incidente producido a la mayor brevedad posible, algunos de los factores a tener en cuenta para determinar si procede comunicar dicha incidencia son los siguientes:


  • Cuáles son las obligaciones legales y contractuales.

  • Qué riesgos comporta para los derechos y libertades de las personas la pérdida de confidencialidad, integridad o disponibilidad de sus datos personales, En particular, los perjuicios a sus derechos fundamentales, los daños físicos, daños reputacionales, fraudes, etc.

  • Hasta qué punto los daños producidos serán irreversibles, se puede evitar o mitigar los daños inmediatos y los posibles perjuicios posteriores.

Por último, será necesario adoptar una serie de acciones para poner solución a la brecha, entre ellas se debe mejorar las medidas de seguridad y los procedimientos de seguridad de la empresa con ello se pretende resolver el incidente y reforzar las medidas de la entidad para evitar futuras brechas.

¿Qué medidas puede tomar mi empresa para prevenir las brechas de seguridad?

En todo tratamiento debe determinarse el riesgo que para los derechos y libertades puede suponer que se materialice una brecha de datos personales. Esta es una tarea previa a la materialización de una brecha de datos personales, y forma parte de la preparación de la organización para afrontar las brechas que pueda sufrir.

Una vez establecido el nivel de riesgo, y aunque este sea escaso, se deben establecer, las medidas para minimizar dichos riesgos, a través de:

    • Políticas de protección de datos.
  •  
    • Medidas de protección de datos por defecto y desde el diseño.
  •  
    • Medidas de seguridad.
  •  
    • Evaluaciones de impacto para la protección de datos.

Además de lo anterior el RGPD contempla tanto medidas preventivas para evitar o disminuir el riesgo como correctivas para reaccionar ante la materialización del riesgo entre ellas encontramos las siguientes:


  • Medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad.

  • Medidas para garantizar la resiliencia de los sistemas y servicios de tratamiento, y para dotar de capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

  • La seudonimización y el cifrado de datos personales.

  • Los procesos de verificación, evaluación y valoración regulares de las medidas de seguridad.

Desde Caberseg podemos ayudar a tu entidad a prevenir incidentes de seguridad gracias a nuestro proceso de implantación normativa, poniendo a tu servicio especialistas jurídicos y en sistemas que dan una visión personalizada, atendiendo a las necesidades de tu entidad y el encaje en el cumplimiento de las normas vigentes.

Contacta con Caberseg y te informamos de todo