La AEPD gestiona más de 700 brechas de seguridad de datos en las empresas, en los primeros cinco meses de 2021
La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía para la notificación de brechas de datos personales, que publicó en 2018 coincidiendo con la plena aplicación del Reglamento General de Protección de Datos (RGPD). Esta nueva versión incluye la experiencia recogida en los primeros años de aplicación del Reglamento.
RANSOMWARE, la causa más común de brecha de seguridad
Una de las novedades que introdujo el RGPD es que, en caso de producirse una brecha de seguridad, el Responsable del Tratamiento tiene la obligación de comunicarla a la Autoridad de Control (la AEPD en el caso de España) en un plazo no superior a 72 horas después de que se haya tenido constancia de ella.
En este sentido, desde enero a mayo de 2021, la AEPD ha gestionado más de 700 brechas de datos notificadas por Responsables del Tratamiento, la mayoría de ellas producidas a raíz de ataques externos e intencionados, siendo el ransomware la amenaza más frecuente.
Según especificaron desde la AEPD, “El principal propósito de esta actualización es la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más profesional, basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica”.
Asimismo, desde la autoridad de control recordaron que «cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada», recordando que el incidente “puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales».
El hecho de no notificar una brecha puede denotar la ausencia de medidas de seguridad, y por eso, las autoridades de control podrían también imponer sanciones junto con la infracción por no notificar la brecha de seguridad, otra sanción añadida por la ausencia de medidas de seguridad “adecuadas”, ya que se trata de dos infracciones diferenciadas, en virtud del artículo 83.2 del RGPD teniendo en cuenta dos factores agravantes y uno atenuante a la hora de determinar la cuantía de esta:
-
AGRAVANTES:
- Se trata de una acción negligente sobre datos significativos que permiten la identificación de una persona (83.2b): puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación, datos de afiliación sindical, datos de salud e incluso infracciones penales o condenas.
- Atendiendo a la tipología y categoría de datos de carácter personal afectados por la infracción (83.2g): se encuentran afectados tanto identificadores personales básicos (nombre, apellidos, DNI, teléfono, dirección y circunstancias personales), como datos especialmente protegidos.
- ATENUANTE:
- Se han adaptado medidas para paliar los daños y perjuicios sufridos por los interesados (83.2c): ha identificado exactamente los tratamientos de datos afectados, la tipología de datos de estos, y la ubicación de las bases de datos automatizadas. También se ha impartido formación para trabajar la concienciación de los empleados y se han colocado carteles en los despachos sobre la cultura de protección de datos (política de mesas limpias, bloqueo por inactividad, protección de dispositivos extraíbles, etc.)
La Agencia recuerda que «las notificaciones de brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla no implica necesariamente la imposición de una sanción”. De hecho, hacerlo de forma correcta muestra la buena intención por parte del organismo que ha sufrido la brecha, mientras que no realizarlo sí que está tipificado con una sanción.
Departamento de Consultoría y Auditoria
