La ciberseguridad se ha convertido en uno de los problemas que más preocupan en las empresas hoy en día, no sólo por las consecuencias que pueden tener las brechas de seguridad desde el punto empresarial sino, también, desde la perspectiva legal.
La normativa actual obliga a las organizaciones a prestar especial atención a este aspecto y recoge cómo deben gestionarse estas situaciones.
Según la definición de la Agencia Española de Protección de Datos (AEPD), una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Su origen puede ser accidental o intencionado y puede afectar tanto a los datos tratados digitalmente como en formato papel.
Por lo general, se trata de sucesos que ocasionan la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
La AEPD y el RGPD definen las brechas de seguridad como una violación de la seguridad en los datos almacenados.
Es el Reglamento General de Protección de Datos (RGPD) de la Unión Europea el que regula el tratamiento que las personas, empresas u organizaciones realizan de los datos personales que manejan. Y también define la brecha de seguridad como toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Las formas en las que se pueden presentar las brechas de seguridad son muy diversas, en especial en el entorno digital.
Las brechas de seguridad en empresas pueden suceder por causas accidentales o intencionadas. Desde un descuido de un trabajador a un ciberataque pueden dar origen a una brecha de datos. Las más habituales son:
Gracias al seguimiento que la AEPD realiza de las brechas de seguridad en las empresas, se pueden conocer la cantidad y el tipo de fugas de datos que se producen en España. Según su informe de marzo de 2022, el phishing mediante correo electrónico es la principal ‘puerta de entrada’ a los datos de las empresas. Pero este informe arroja otras conclusiones muy elocuentes:
En el informe, además, la AEPD insiste en la necesidad de que las empresas lleven a cabo campañas formativas y de concienciación entre sus trabajadores y el incremento de mecanismos de protección para evitar brechas de seguridad de imprevisibles consecuencias.
Desde 2018, el Reglamento General de Protección de Datos de la Unión Europea complementa a la Ley Orgánica de Protección de Datos (LOPD) en la regulación del tratamiento de los datos personales.
La normativa obliga a comunicar cualquier brecha de seguridad a las autoridades competentes -en este caso, a la AEPD- en un plazo máximo de 72 horas. Es importante saber esto porque esta obligación en materia de ciberseguridad es algo que deben tener también en cuenta las personas que teletrabajan.
Según el RGPD, una brecha de seguridad puede ser desde la pérdida o robo de un USB con información sensible a un hackeo masivo de una base de datos.
La ley obliga a notificar una brecha de seguridad en un plazo de 72 horas desde que ésta es detectada.
En una empresa, la persona encargada de notificar cualquier posible incidencia en ese sentido es el responsable de tratamiento de datos personales, y debe hacerlo tan pronto como tenga conocimiento de que se ha producido. La excepción es que se pueda demostrar que los datos expuestos no supongan un riesgo para los derechos y libertades de los afectados. Y, en caso de retraso, deberá justificarse el motivo.
¿En qué consiste la notificación de una brecha de seguridad a la AEPD?
Es importante notificar la brecha de seguridad en cuanto se tengan indicios de la misma, aunque la información deba completarse más adelante. Y todas las empresas deben llevar un registro de todos estos incidentes. Además, se debe comunicar a los afectados para que tomen medidas inmediatas.
El incumplimiento de estas medidas puede ser considerado como una infracción grave y puede acarrear multas de hasta 20 millones de euros o entre un 2% y un 4% del volumen de negocio anual de la empresa.
LOPD, Facebook y Twitter: ¿Cuáles son las normas y sanciones?
7 ejemplos para saber cómo actuar con el nuevo Reglamento General de Protección de Datos
Encuesta: ¿Cumple tu empresa con el nuevo RGPD 2018? (incluye guía)
¿Dónde contratar una póliza de seguro de auto para un vehículo con licencia VTC? Los…
El cambio normativo en España respecto a los planes de pensiones trata de impulsar la…
Para que las personas que cobran una pensión pública no pierdan poder adquisitivo, año a…
Reinvertir la desgravación de los planes de pensiones en el propio plan es una forma…
Hasta el año 2013, las pensiones de jubilación se calculaban en base a los últimos…
El año pasado se despidió con buenos números para el sector turístico. Aunque todavía no…