TENGO UN DPD Y HE APLICADO MEDIDAS DE SEGURIDAD ¿ESTOY A SALVO DE SANCIONES?

pexels-fernando-arcos-211151

La AEPD ha sancionado a una compañía tras sufrir una brecha de datos en su página web. La organización contaba con un servicio de asesoramiento en materia de privacidad, un Delegado de Protección de Datos y múltiples medidas de seguridad informática en sus sistemas. Pese a ello, la autoridad española de control ha resuelto imponer a esta empresa una multa de 52.000 euros, quedando en 31.000 euros por pronto pago.

Tras recibir denuncia de un usuario afectado, la AEPD inició una investigación sobre una brecha de datos producida en la página web de una conocida editorial. En concreto, se filtraron datos relativos a nombres de clientes, incluyendo menores de edad, así como datos de contacto y de localización. La compañía, tan pronto como conoció los hechos, contrató a una empresa de ciberseguridad para tomar las medidas correspondientes, además de contar ya con un Delegado de Protección de Datos.

Asimismo, la empresa alegó ante la AEPD que había realizado un análisis de riesgos utilizando una herramienta disponible en la web de la propia agencia, y que ya tenía implantadas una serie de medidas de seguridad. Sin embargo, la agencia concluyó que:


  • La evaluación realizada mediante la aplicación de la AEPD debe entenderse como una aproximación básica y orientativa, pero que no sirve como análisis de riesgos con todos los requisitos.

  • Que las medidas de seguridad existentes en los sistemas de empresa no se había acordado en función de los resultados del análisis de riesgos, por lo que no podía considerarse adecuadas las necesidades reales de la organización.

¿Cómo garantizar que las medidas aplicadas son adecuadas conforme a la norma?

El RGPD no establece expresamente cuáles son las medidas de seguridad que deben implantar los sujetos obligados. En su lugar, se espera que estos analicen su situación pata identificar y evaluar los riesgos existentes sobre sus sistemas, para posteriormente escoger los mecanismos más adecuados para su subsanación.

En este sentido, será necesario que la entidad identifique cada actividad de tratamiento de datos y las someta a un análisis de riesgos. Existen múltiples metodologías que pueden servir este propósito, con algunas específicamente concebidas para ciertos sectores económicos, como el sector público o el sector financiero. No existe una regla que obligue a las organizaciones a escoger entre una u otra metodología, pero la AEPD, en su guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, plantea un procedimiento relativamente profundo al respecto.

De cualquier modo, el análisis de riesgos debe ser exhaustivo y detallada, examinando todos los aspectos del tratamiento y tomando en consideración todos los riesgos posibles. Tras ello, debe escogerse una lista de medidas de seguridad específicamente dirigidas a paliar esos mismos riesgos. En definitiva, debe evitarse recurrir a medidas genéricas que no dan respuesta a los problemas concretos de la organización.

Contacta con Caberseg y te informamos de todo