A día de hoy, no todas las empresas están concienciadas sobre la ciberseguridad, aunque sí la mayoría al menos han oído hablar sobre la notificación de brechas de seguridad. El RGPD recoge en sus artículos 33 y 34 que siempre que se sospeche o detecte una brecha de seguridad que pueda ocasionar daños y perjuicios en las personas se deberá notificar a la AEPD, y en caso de suponer un alto riesgo para los derechos y libertades de las interesadas, se deberá notificar a las mismas.
Sin embargo, ¿estamos seguros que sabemos identificar que estamos ante una brecha de seguridad?
Una brecha de seguridad es:
- Cualquier incidencia que suponga pérdida, indisponibilidad o acceso no autorizado a datos personales.
- La brecha de seguridad puede surgir de un accidente o de un acto intencionado.
- Además podrá afectar no solo a datos almacenados digitalmente sino también en papel.
Veamos algún ejemplo de cada uno:
-
Pérdida e indisponibilidad: Se da cuando perdemos o son eliminados sin querer datos personales.
Un ejemplo: Olvidamos el portátil (donde guardamos la información de nuestros clientes) en una cafetería o nos lo roban del coche.
Recomendaciones: Lo ideal sería no perderlo, y en caso de trabajar con portátil nunca dejarlo en un lugar no seguro. Sin embargo, como no hay recomendaciones para evitar totalmente la pérdida, al menos, deberemos protegerlo. ¿Cómo? Siempre deberemos tener los datos que guardemos en el portátil correctamente cifrados. Además, deberemos hacer copias de seguridad tan a menudo como nuestros datos lo necesiten.
-
Alteración no deseada de los datos: Se da en caso de que los datos sean modificados sin autorización.
Un ejemplo: Lo más común es un ataque ransomware, que impide que podamos acceder a nuestros datos. Todos podemos ser víctimas de estos ataques, por eso, es muy importante estar prevenidos.
Recomendaciones: Siempre tener copia de seguridad, como vemos, nos puede librar de muchos quebraderos e incidentes.
-
Acceso no deseado
Un ejemplo: Queremos enviar un correo electrónico a varias personas y nos olvidamos de utilizar la copia oculta (CCO). Aunque en el correo no enviemos ningún dato personal, recordemos que los correos son datos personales.
Recomendaciones: Utilizar siempre CCO. Activar el envío en diferido de los correos, para poder tener unos minutos más de revisión. Si vamos a enviar un email a muchas personas, siempre es preferible que lo revisen al menos 2 personas, ya que 4 ojos ven más que 2.
Ahora que ya sabemos identificar situaciones que pueden tratarse de una brecha de seguridad, veamos cómo debemos actuar una vez identificada. Es muy importante tener estos pasos en cuenta, ya que los plazos de reacción son bastante breves, como veremos a continuación:
-
Registrar la incidencia detectada.
Se debe registrar todos los puntos importantes sobre el incidente: dónde y cuándo se ocasionó, quién la detectó, a qué datos ha afectado.
-
Averiguar si supone un riesgo para los afectados
Es muy importante analizar si la incidencia afecta o podría afectar a los derechos y libertades de las personas. Para analizarlo, tomaremos de referencia el volumen de datos afectados, qué tipo de datos se trataban, si son datos especialmente protegidos como datos de salud o sobre condenas por ejemplo, y el grado de impacto que pueda tener, es decir, si han podido acceder terceros a los datos o incluso si estos están totalmente fuera de control. La AEPD cuenta con una herramienta muy práctica con la que podemos analizar si se trata de una brecha de seguridad (enlace a la herramienta).
-
Notificar a la AEPD y a los interesados
En caso de valorar que la brecha de seguridad puede afectar a los derechos y libertades de los interesados deberemos notificar a la AEPD en un plazo de 72 horas a través de su sede electrónica. En caso de suponer un alto riesgo, también deberemos notificarlo a los interesados, ya sea de manera individual o de manera pública por ejemplo a través de nuestras redes sociales o página web.
-
Acciones de prevención
Una vez solucionada la incidencia y hechas las notificaciones oportunas es importante que tratemos de aprender de los errores, y reflexionemos sobre si existen medidas que podamos tomar para evitar que el incidente se vuelva a repetir o para que el daño sufrido sea el menor posible.
Es por eso, que tal como hemos visto, siempre es más fácil y económico, aplicar medidas de protección cuando recojamos datos personales, como por ejemplo utilizar copias de seguridad adecuadas o el cifrado de los datos. Ya que de este modo, estaremos protegidos y no se verán afectados los derechos y libertades de nuestros clientes ante cualquier tipo de incidencia.
Consulta nuestras últimas entradas al #BlogEmprende.ull
- Subvención para la Promoción del Empleo Autónomo 2023
- 5 consejos de marketing digital para emprendedoras y emprendedores
- ¿Necesitas asesoramiento para emprender? Te contamos todo sobre el método Emprende.ull
- Kit rápido para trabajar en remoto (I Parte)
- Kit rápido para trabajar en remoto ( II Parte)
- Claves para hacer crecer tu marca personal
- La importancia del diseño de marca
- Marketing digital con Facebook e Instagram Ads
