El Comité Europeo de Protección de Datos actualiza la guía de medidas en caso de brecha de seguridad

17-01-2022 — AR/2022/003

Este organismo europeo ha actualizado su guía de 2017 con ejemplos interesantes para saber cómo actuar ante brechas de seguridad de los datos, qué medidas se deben tomar en función del tipo de brecha, y cuándo  notificarlas y a quién.

 

El Comité Europeo de Protección de Datos (CEPD o EDPB, en siglas inglesas) ha actualizado, el 3-1-2022, una guía con ejemplos sobre la notificación de brechas en la protección de datos.

Para ello, el Comité se ha basado, además de en la anterior versión de la guía, de 2017, en el Reglamento General de Protección de Datos1 (RGPD), en el acuerdo sobre el Espacio Económico Europeo2 (EEE), y en los artículos 12 y 22 de las Reglas de Procedimiento del Comité.3

Finalidad de las directrices

El objetivo de estas directrices, según el emisor, es ayudar a los responsables del tratamiento a decidir:

  • cómo manejar las brechas de seguridad de datos, y
  • qué factores se deben considerar durante la evaluación de riesgos.

Las brechas de seguridad pueden ser categorizadas en tres tipos:

  1. brecha de la confidencialidad (el RGPD utiliza el término «violación»): divulgación o acceso no autorizado;
  2. brecha de integridad: alteración no autorizada, y
  3. brecha de la disponibilidad: destrucción o pérdida de datos.

Producido el ataque, el responsable debe analizar la situación e identificar los efectos adversos y su gravedad.

Contenido de la guía

Destacamos dos apartados de ella.

Ejemplos basados en la realidad

En esa actualización, el CEPD incluye una serie de ejemplos que reflejan muy bien la temática y cuestiones que se están planteando. Son ejemplos prácticos para los que identifica distintas medidas que los responsables pueden aplicar para prevenir estos ataques.

Los más relevantes son:

  • Impartir periódicamente programas de formación, educación y concienciación para los empleados sobre privacidad y seguridad y sobre la detección y notificación de amenazas a la seguridad de los datos personales.
  • Disponer de un equipo de respuesta a incidentes o emergencias informáticas.
  • Evaluar y ejecutar pruebas periódicas de vulnerabilidad de las prácticas, procedimientos y sistemas de protección de la privacidad para comprobar su eficacia continua.
  • Cifrar los datos de todos los dispositivos electrónicos.
  • Evitar almacenar información sensible en los dispositivos móviles o en los discos duros externos.
  • Definir un plan de respuesta y de recuperación.
  • Elaborar un manual sobre el tratamiento de las brechas de seguridad de los datos personales para conocer con rapidez las acciones que mitiguen los riesgos y cumplir las obligaciones sin demora.
  • Conservar copias de seguridad actualizadas e independientes.
  • Contar con sistemas de recuperación de datos.
  • Implementar encriptación fuerte y autenticación.
  • Usar sistemas dedicados a la gestión de datos personales que apliquen mecanismos adecuados de control de acceso y que eviten los errores humanos, como el envío de comunicaciones al sujeto equivocado.
  • Utilizar cortafuegos, un sistema de detección de intrusos y otros de defensa perimetral adecuados, actualizados, eficaces e integrados.
  • Utilizar el software o app con mobile devices management (MDM) y habilitar la función de borrado remoto.

Criterios para las notificaciones

La guía ofrece también criterios que el responsable de tratamiento de datos personales tiene que  considerar para determinar si debe o no notificar la brecha y a quién .

Las cuatro situaciones que se destacan en la guía son:

  1. Documentar internamente el incidente.
  2. Actualizar y remediar las medidas y procedimientos organizativos y técnicos de la seguridad y mitigación de riesgos.
  3. Notificar a la autoridad nacional de control, dentro de las 72 horas siguientes al ataque.
    • Para determinar si es necesario o no notificar a la autoridad de control, se valorarán factores como:
      • la naturaleza, sensibilidad y volumen de datos,
      • el tipo de compañía que sufre el ataque (banco, hospital o empresa agraria), o
      • quién es el atacante (un tercero o un empleado).
    • Los ejemplos explican situaciones parecidas pero con detalles diferentes que hacen modificar la respuesta que ha de darse.
  4. Notificar a los interesados. El principal problema con los interesados es determinar si existe un riesgo real y grave para sus derechos y libertades:
    • hay situaciones en las que parece obvio que no se da ese riesgo y es innecesaria la comunicación, pero
    • hay casos dudosos o que se haya vulnerado documentación sensible, en los que el CEPD considera mejor «prevenir que curar» e informar a los interesados, de manera directa o en un comunicado oficial.

1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
2 Acuerdo sobre el Espacio Económico Europeo Europeo – Acta Final – Declaraciones conjuntas – Declaraciones de los Gobiernos de los Estados miembros de las CE y de los Estados de la AELC – Acuerdos – Acta aprobada – Declaraciones de una o varias partes contratantes del Acuerdo sobre el Espacio Económico Europeo, de 3 de enero de 1994.
3 Comunicación de la Comisión al Parlamento Europeo y al Consejo, de 24 de junio de 2020, sobre la protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: 2 años de aplicación del Reglamento General de Protección de Datos.