Infografía: Brechas de seguridad: qué son y cómo gestionarlas según el RGPD

La ciberseguridad se ha convertido en uno de los problemas que más preocupan en las empresas hoy en día, no sólo por las consecuencias que pueden tener las brechas de seguridad desde el punto empresarial sino, también, desde la perspectiva legal.

La normativa actual obliga a las organizaciones a prestar especial atención a este aspecto y recoge cómo deben gestionarse estas situaciones.

Qué son las brechas de seguridad

Según la definición de la Agencia Española de Protección de Datos (AEPD), una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Su origen puede ser accidental o intencionado y puede afectar tanto a los datos tratados digitalmente como en formato papel.

Por lo general, se trata de sucesos que ocasionan la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

La AEPD y el RGPD definen las brechas de seguridad como una violación de la seguridad en los datos almacenados.

Es el Reglamento General de Protección de Datos (RGPD) de la Unión Europea el que regula el tratamiento que las personas, empresas u organizaciones realizan de los datos personales que manejan. Y también define la brecha de seguridad como toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Las formas en las que se pueden presentar las brechas de seguridad son muy diversas, en especial en el entorno digital.

Brechas de seguridad más comunes en las empresas

Las brechas de seguridad en empresas pueden suceder por causas accidentales o intencionadas. Desde un descuido de un trabajador a un ciberataque pueden dar origen a una brecha de datos. Las más habituales son:

• Filtración accidental.
• Filtración maliciosa.
• Dispositivos perdidos o robados.
• Ataques externos maliciosos.

Gracias al seguimiento que la AEPD realiza de las brechas de seguridad en las empresas, se pueden conocer la cantidad y el tipo de fugas de datos que se producen en España. Según su informe de marzo de 2022, el phishing mediante correo electrónico es la principal ‘puerta de entrada’ a los datos de las empresas. Pero este informe arroja otras conclusiones muy elocuentes:

• En el mes de estudio, la AEPD recibió un total de 140 notificaciones de brechas de datos personales, 110 de las cuales provenían del ámbito privado.
• Del total de notificaciones recibidas, 128 llegaron a través del formulario online de la AEPD y, de ellas, 111 tuvieron como resultado una vulneración de la confidencialidad de la información.
• ¿Qué datos se vieron comprometidos? Hasta 25 de esas brechas de seguridad afectaron a categorías de datos especialmente protegidos y en 15 de estos casos se referían a datos relacionados con la salud.
• De las 128 notificaciones online, 65 correspondían a brechas de seguridad provocadas por acciones de carácter malintencionado.
• Y, como dato llamativo, en la brecha de seguridad más grave, se vieron comprometidos los datos personales de hasta 4,5 millones de personas.

En el informe, además, la AEPD insiste en la necesidad de que las empresas lleven a cabo campañas formativas y de concienciación entre sus trabajadores y el incremento de mecanismos de protección para evitar brechas de seguridad de imprevisibles consecuencias.

¿Cómo gestionarlas según el RGPD?

Desde 2018, el Reglamento General de Protección de Datos de la Unión Europea complementa a la Ley Orgánica de Protección de Datos (LOPD) en la regulación del tratamiento de los datos personales.

La normativa obliga a comunicar cualquier brecha de seguridad a las autoridades competentes -en este caso, a la AEPD- en un plazo máximo de 72 horas. Es importante saber esto porque esta obligación en materia de ciberseguridad es algo que deben tener también en cuenta las personas que teletrabajan.

Según el RGPD, una brecha de seguridad puede ser desde la pérdida o robo de un USB con información sensible a un hackeo masivo de una base de datos.

La ley obliga a notificar una brecha de seguridad en un plazo de 72 horas desde que ésta es detectada.

En una empresa, la persona encargada de notificar cualquier posible incidencia en ese sentido es el responsable de tratamiento de datos personales, y debe hacerlo tan pronto como tenga conocimiento de que se ha producido. La excepción es que se pueda demostrar que los datos expuestos no supongan un riesgo para los derechos y libertades de los afectados. Y, en caso de retraso, deberá justificarse el motivo.

¿En qué consiste la notificación de una brecha de seguridad a la AEPD?

1. Realizar una valoración del riesgo.
2. Evaluar los daños materiales o inmateriales, en el caso de que los haya.
3. Calcular el alcance del impacto de la brecha.
4. Rellenar un formulario que contenga, como mínimo, información sobre la naturaleza de la brecha, las medidas adoptadas para subsanar el problema y las decisiones tomadas para mitigar los daños.

Es importante notificar la brecha de seguridad en cuanto se tengan indicios de la misma, aunque la información deba completarse más adelante. Y todas las empresas deben llevar un registro de todos estos incidentes. Además, se debe comunicar a los afectados para que tomen medidas inmediatas.

El incumplimiento de estas medidas puede ser considerado como una infracción grave y puede acarrear multas de hasta 20 millones de euros o entre un 2% y un 4% del volumen de negocio anual de la empresa.