BankinterAdvertisement
 

Millones de datos personales al descubierto cada día

Millones de datos personales al descubierto cada día
Lunes, 03 de septiembre 2018

Un trimestre después de la aplicación del RGPD, los incidentes de seguridad en datos personales son más sonados que nunca, pero no porque hayan aumentado en número, sino porque desde la entrada en vigor de la normativa europea hay obligación de notificarlos si se dan ciertos requisitos.

Una de las claves del nuevo Reglamento Europeo de Protección de Datos (RGPD) es la prevención para evitar brechas de seguridad, entendidas como los incidentes que causen destrucción pérdida o alteración de datos personales, sean accidentales o intencionados. Si anteriormente la normativa solo obligaba a notificar estas violaciones a los operadores de servicios de comunicaciones electrónicas disponibles al público, el RGPD extendió la obligación a todos los sectores y empresas que traten datos.

Los incidentes de seguridad suceden en empresas de primer nivel, dejando en algunos casos millones de datos de clientes al descubierto. Sin embargo, el despacho jurídico Elzaburu, especializado en la protección de activos intangibles, asegura que "en realidad, el número de brechas de seguridad no ha aumentado desde el 25 de mayo, sino que hasta ahora nuestra normativa no contemplaba la obligación de notificar una violación de seguridad, salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el RGPD extiende esta obligación a cualquier empresa que trate datos".

Los ejemplos de violaciones de seguridad en las empresas no se limitan a robos físicos de soportes como un USB o la entrada de un hacker a nuestro sistema, sino también el envío accidental de una lista de correos que aparece visible en el e-mail, compartir una contraseña personal con un empleado o accesos no autorizados a los datos por una tercera parte. En todos estos casos, se produce una violación de protección de datos y, en algunos de los casos, hay obligación de notificar el incidente.

Pero, ¿qué hacer ante la posibilidad de que eso ocurra? Según la abogada de Elzaburu, Cristina Espín, lo más importante a tener en cuenta en cualquier empresa debería ser "(i) tener definido un procedimiento de gestión de brechas de seguridad; (ii) disponer de herramientas para valorar el riesgo del incidente; y (iii) saber si deberá notificar a la autoridad de control y a los interesados en función de las características del incidente y el riesgo derivado del mismo para los interesados."

La notificación se requiere cuando el incidente pueda provocar un riesgo para los interesados y debe hacerse en el plazo de 72 horas desde que se tiene certeza (constancia real) de que se ha producido. También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto y siempre que no se comprometa el resultado de una investigación en curso, en cuyo caso la comunicación se puede realizar más adelante, todo esto bajo la supervisión de la autoridad de control.

"La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención", asegura el abogado Martín Bello, "esto implica el establecimiento de todas las medidas destinadas a evitar las brechas de seguridad, la incorporación de impedimentos para la lectura y modificación no autorizadas de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos".


Grupo Control