Una brecha de seguridad en el ámbito de la protección de datos personales se define, según el artículo 4.12 del Reglamento General de Protección de Datos (RGPD), como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.»

Esto incluye no solo ataques informáticos externos (como el ransomware), sino también errores humanos (por ejemplo, enviar datos a un destinatario incorrecto) o fallos técnicos (como una pérdida de datos por fallo del servidor).

Según las consecuencias de estos incidentes, las brechas de seguridad pueden clasificarse en tres tipos:

• Confidencialidad: acceso o divulgación no autorizada de datos personales.
• Integridad: alteración no autorizada de datos.
• Disponibilidad: pérdida de acceso o destrucción de datos.

Obligaciones de la empresa ante una brecha

Toda empresa responsable del tratamiento debe documentar internamente cualquier brecha, incluso si no requiere notificación a la autoridad de control o a los interesados. Esta documentación debe incluir: una descripción de la brecha, la fecha y hora de ocurrencia y detección, los datos afectados, las consecuencias previsibles y las medidas correctoras aplicadas.

Notificación a la autoridad de control

Además, de la obligación anterior, el RGPD obliga a notificar la brecha a la Agencia Española de Protección de Datos (AEPD) sin dilación indebida y, en todo caso, dentro de las 72 horas desde que se tenga constancia, salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas. Es decir, cuando la brecha conlleve un riesgo para los derechos y libertades de las personas, será necesario notificarla a la AEPD.

Para evaluar el riesgo será necesario tener en cuenta diversos factores, como el tipo de dato personal afectado, el volumen y alcance de los datos afectados y las consecuencias previsibles para los afectados por la brecha (como la suplantación de identidad o el daño reputacional).

Comunicación a los interesados

Además de las obligaciones anteriores, cuando la brecha suponga un alto riesgo para los derechos y libertades de las personas físicas, se deberá comunicar sin dilación indebida a los afectados, de forma clara y sencilla.

Esta notificación debe incluir información acerca de la naturaleza de la brecha, las medidas adoptadas, las consecuencias previstas y las recomendaciones para mitigar sus efectos.

Por el contrario, no será obligatoria esta comunicación cuando Se hayan tomado medidas que eliminan el riesgo (como el cifrado de los datos) o se tomen medidas posteriores que lo mitiguen.

Cómo evitar las violaciones de seguridad

El riesgo cero, como en cualquier campo, es imposible de alcanzar hasta para las compañías más grandes y con más recursos del mundo. Sin embargo, sí que existen determinadas prácticas que minimizan poderosamente el riesgo de sufrir una brecha de seguridad:

• Establecer protocolos de gestión de incidentes.
• Nombrar un responsable de seguridad.
• Realizar auditorías periódicas.
• Implantar medidas técnicas como el cifrado, el uso de firewalls, el control de accesos y la implementación de un sistema de copia de seguridad.

En conclusión, las brechas de seguridad son un riesgo inherente en el entorno empresarial. Su correcta gestión y notificación es esencial no solo para cumplir con el RGPD, sino también para proteger la confianza de los usuarios y minimizar consecuencias legales.

Si no estás seguro de si tu empresa sigue cumpliendo correctamente con la normativa de protección de datos, contáctanos. Revisaremos tu situación actual y diseñaremos un plan de mantenimiento que se ajuste a tus necesidades reales, sin complicaciones y con todas las garantías legales.