Solo en los primeros meses de 2021 se han notificado más de 700 brechas de datos personales en empresas españolas, provocadas en su mayoría por ciberataques.
Desde
Consulpyme queremos que sepas qué tienes que hacer si tu empresa sufre una brecha por un ciberataque. Informar a las autoridades pertinentes es una obligación. Si gestionas información sobre tus clientes debes estar preparado para este tipo de imprevistos.
Brechas de Datos
La Agencia Española de Protección de Datos define las brecha de datos personales como incidentes de seguridad que afectan a datos de carácter personal, pudiendo producir daños sobre los derechos y libertades de las personas físicas cuyos datos son objeto del tratamiento.
Hay que tener presente que no todas las brechas vulneran los datos personales. Para que sea considerado así, esta vulneración debe tener posibles efectos adversos en las personas, pudiéndoles ocasionar daños y perjuicios en sus derechos y libertades.
La mayoría de los ataques se producen por agentes externos. Los más comunes son los que utilizan ransomware, también conocidos como virus informáticos, que impiden a las empresas entrar a parte de sus sistemas y piden un rescate a cambio de devolver los poderes sobre sus archivos y plataformas.
Responsable de tratamiento
Lo primero que tiene que hacer el responsable de tratamiento, ya sea interno de la empresa o externo, es valorar la situación. Poder determinar las consecuencias sobre los afectados y, si es preciso informarles de la brecha, es esencial en un incidente de brecha de seguridad.
Puede que la brecha haya causado una fuga de información poco relevante o que no vulnera derechos de los posibles afectados. Igualmente, una brecha de seguridad severa puede producir daños materiales, inmateriales o morales a las personas afectadas. Por eso, hay que tener en cuenta el valor que puede tener en las personas afectadas conocer la brecha de datos.
Una herramienta esencial para poder conocer el riesgo de las brechas de información es tener el RAT, también conocido como Registro de Actividades de Tratamiento, actualizado. Unido a esto, tener un análisis de riesgo previamente elaborado puede ser de gran ayuda para abordar la situación.
También es importante que el responsable de tratamiento lleve un registro de las brechas de seguridad, el cual puede ser de gran utilidad para conocer las áreas de mejora de la protección de datos en nuestra empresa. En este registro debe de quedar claro qué acciones se llevaron a cabo para paliar las consecuencias de las brechas. El registro es exigible por la AEPD en cualquier momento.
Notificar la brecha de datos
Desde que se tiene constancia de la brecha, existe un plazo máximo de 72 horas para notificar a la AEPD. Este plazo es obligatorio para todos los incidentes que pueden suponer riesgo para los derechos y libertades de las personas afectadas.
En caso de que la valoración de la brecha de datos haya sido favorable y no existan indicios de riesgos en los derechos de nadie, no sería obligatorio notificar a la Agencia de Protección. A pesar de no serlo, se considera recomendable hacerlo, en la línea de proactividad y transparencia que marca el RGPD.
Para conocer si el caso que está sufriendo tu empresa requiere de notificación, el responsable de tratamiento de datos podrá rellenar el formulario en forma de auto test que ofrece la AEPD. El propósito de este test es facilitar el cumplimiento de la notificación de brechas de datos personales. En caso de finalizar el test y concluir que el riesgo para los afectados es alto, habrá que informarles de inmediato por el medio de comunicación habitual. Se debe de trasmitir lo ocurrido, sus posibles consecuencias y las medidas recomendadas para que puedan minimizar las posibles consecuencias negativas de manera clara y sencilla. De esta manera, los afectados podrán tomar las medidas necesarias para proteger su integridad.
En el caso de que tu empresa se sitúe en Cataluña, País Vasco o Andalucía, los organismos a los que notificar la brecha serían los propios de esas comunidades autónomas.
¿Y si no lo hago?
Las sanciones por no notificar las brechas de datos personales y, por tanto, no tomar las medidas necesarias para evitar las consecuencias negativas en los dignificados ascienden a 20.000 € o al 4 % de la facturación de la empresa.
Contar con un protocolo de actuación para brechas de datos, un RAT actualizado y un buen registro de los incidentes anteriores son herramientas preventivas que puedes aplicar en tu negocio.