Formación y sensibilización: Aprenda a identificar una vulneración de datos personales y distinguirla de un incidente de seguridad. El Reglamento General de Protección de Datos (RGPD) incluye también la doble obligación de notificar, en determinadas circunstancias, las violaciones de datos personales a las autoridades de control y de comunicarlas a las personas físicas.
CICLO DE VIDA DE LAS BRECHAS DE DATOS PERSONALES
Para el primero, tenemos la fase de planificación, desde la perspectiva de la anticipación o la preparación anticipada, para no tener que improvisar en caso de un desfase. Después terminamos con las decisiones, seguimiento de la evolución y evaluación por parte de la AEPD, lo que puede llevar a la consecuencia no deseada de apertura de expediente sancionador.
PLANIFICA
Lo que no tengamos ya incorporado y rodado en nuestra organización, previo a sufrir la brecha, difícilmente podremos corregirlo en plena crisis, donde los tiempos
Las Personas
Capacitación y concientización: Aprenda a identificar una violación de datos personales y distinguirla identificar una violación de datos personales y distinguirla de un incidente de seguridad. Es tan malo sufrir múltiples violaciones de datos como afirmar que no ha sufrido ninguna, porque en el entorno digital actual eso significa que sí.
Tan malo es sufrir muchas brechas de datos personales como declarar no haber sufrido ninguna, porque en el entorno digital actual significa que lo
Por tanto, no debemos confundir un incidente de seguridad con una violación de datos; Cada vulneración de datos personales representa una tipología de incidentes de seguridad, pero a la inversa no ocurre lo mismo. Es demasiado importante la protección de datos personales que puedan verse afectados por un incidente de seguridad o por su gestión.
La protección de los datos personales que puedan verse impactados por un incidente de seguridad, o por su gestión, es demasiado importante como para
El Esquema Nacional de Seguridad (en adelante ENV) define un "incidente de seguridad" como aquel "evento inesperado o no deseado con consecuencias que perjudican la seguridad del sistema de información". En el mismo sentido, la directiva NIS2 define "incidente" como "cualquier evento que amenace la disponibilidad, autenticidad, integridad o confidencialidad de datos o servicios almacenados, transmitidos o procesados, ofrecidos o accesibles a través de redes y sistemas de información". ; y el propio RGPD define con carácter general "violaciones de protección de datos personales" como "todas aquellas violaciones de seguridad que tengan como resultado la destrucción, pérdida o alteración accidental o ilícita de datos personales enviados, almacenados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos". ".
Distinción de un incidente de seguridad
A nivel operativo, promover la cooperación entre las áreas de protección de datos y seguridad de la información, y monitorear todos los eventos relacionados con incidentes de seguridad en las organizaciones, que por desconocimiento puedan hacer que se pase por alto su naturaleza. violaciones de datos personales, es recomendable incluir en los modelos de evaluación de incidentes, dentro de los procesos de gestión de problemas (estrechamente vinculados a la filosofía ITIL: Information Technology Infrastructure Library) de las organizaciones, un análisis de riesgos de los derechos y libertades de las personas físicas que tales incidentes de seguridad que puedan suponer, en cumplimiento del artículo 34 del RGPD, y a los que, por su importancia, dedicaremos un desarrollo especial en el Anexo III de esta Guía. Precisamente para evitar que las violaciones de datos personales pasen desapercibidas, es recomendable revisar periódicamente, junto con los responsables de Tecnologías de la Información, el tipo de apertura de tickets de servicio y las incidencias por parte de los usuarios, de forma periódica para determinar si se aplican los conceptos de incidente de seguridad o La violación de datos es conocida entre los empleados, y lo reportan al área de protección de datos o, por el contrario, se pierden por desconocimiento y son resueltos por las áreas operativas (áreas de Negocio y TI) sin llamar ni a la luz, antes. o en su momento, el área de protección de datos.
Buenas prácticas entre las áreas de protección de datos y seguridad de la información
En este sentido, se puede observar una cierta mala interpretación del artículo 34 del RGPD y los efectos que tiene su no aplicación en la documentación de incidentes de seguridad y violaciones de datos en las organizaciones. Una vez que conocemos el concepto y las obligaciones que conlleva, la organización debe tener su propia definición de gestión de incidentes y gestión de violaciones de datos personales y aplicarla en el máximo de casos y escenarios extraídos de su propia realidad o de sectores afines.
El hecho de que en algunos casos no tengamos la obligación de notificar a la AEPD o comunicar a los afectados, no avala que incumplamos nuestra obligación
Gobernanza y compromiso de la alta dirección
Sin la implicación de la Alta Dirección, ninguna organización, pública o privada, podrá alcanzar el nivel de madurez suficiente para afrontar
Asignación de roles y responsabilidades
La gestión de incidentes de seguridad no es solo responsabilidad de Tecnología, lo es de todas las áreas de actuación de las organizaciones
Los Procedimientos
Asimismo, es de gran importancia que el trabajo de sensibilización y formación de todo el personal de la organización, que en el ejercicio de sus funciones accede a datos personales, esté protocolizado y cuente con un plan de formación claro incluido en los protocolos de Recursos Humanos. Este enfoque, similar al utilizado cuando se trata de planes de continuidad del negocio, implica que definimos escenarios "contingentes" que, para nuestros propósitos, simularían casos prácticos en los que se define un escenario de violación de datos específico, diferenciando la tipología del incidente en función. en variables de seguridad: confidencialidad, integridad, disponibilidad, incluyendo también la trazabilidad y el no repudio.
No será suficiente que cada área disponga de su particular protocolo interno de actuación, la AEPD nos requerirá la presentación e
Con todos ellos se recopilarán los escenarios más probables de violación de datos personales que finalmente serán considerados por cada organización. Una vez definido el Plan de Contingencia con los casos de uso de violaciones de datos personales en la organización, que será revisado anualmente, es necesario delimitar quién será el responsable de gestionarlo.
Revisa los informes de brechas periódicos publicados por la AEPD, te darán pistas para tus evaluaciones de riesgos y son “lo que está pasando
Revisa los informes periódicos de incumplimiento que publica la AEPD, ellos te informarán de tus valoraciones de riesgos y de lo que está sucediendo, en cualquiera de los dos escenarios el papel del análisis de riesgos es fundamental, si se da la situación, ya que pasarán tan solo 72 horas desde la momento en el que se determina que el incidente de seguridad tiene el carácter de violación de datos personales, con la mayor diligencia, para notificarlo a la Autoridad de Control, exigencia que no siempre ocurre en otros escenarios.
Ajusta tus medidas de seguridad en base a los riesgos y no al revés
Análisis de riesgos y análisis de impacto: en su caso, que por su especial importancia desarrollaremos en un apéndice final de esta guía. Comunicación a los afectados: definir los procedimientos a seguir para decidir si un incumplimiento debe ser comunicado a los afectados o no.
Descripción de los escenarios o casos de uso
Probanza de Personas y Protocolos
En esta fase es importante concienciar al grupo directivo, quienes se involucrarán en el diseño de las pruebas, estando al menos informados formalmente de su desarrollo y resultados. Para una mayor eficiencia, siempre que sea posible, recomendamos que las pruebas no se informen excepto a la Alta Dirección, para revisar y analizar cómo están respondiendo los gerentes, propietarios de procesos y otras partes interesadas.
GESTIONA
La gestión de una brecha empieza desde el minuto cero
Equipo de trabajo
Creación de un grupo de trabajo multidisciplinario con los responsables de los procesos involucrados (frontline), así como de TI, privacidad y seguridad. En la gestión de violaciones de datos personales, desde el momento en que se establece que el incidente constituye una violación, la presión del tiempo es determinante (recordar las 72 horas naturales para notificar a la AEPD, así como todos los procesos de comunicación con los afectados y grupos de interés). , entre otros).
Fases de la gestión de la brecha de datos personales
- Activación del plan
Recopilación y análisis de información relacionada con la brecha: La mayoría de incidentes relacionados con la protección de datos en la actualidad tendrán un importante componente tecnológico, donde la información proveniente de herramientas automáticas será fundamental para el posterior análisis del incidente. Clasificación del incidente: Con toda la información de los medios de detección y toda la información adicional recogida, es importante realizar una clasificación precisa del incidente.
Activa tu plan de gestión con premura, como si fuera una crisis interna
Contención del incidente
Erradicación
Tan importante como contener es erradicar, y evitar que el incidente
Recuperación
Durante todo el ciclo de vida del procedimiento de gestión de brechas de seguridad, y especialmente en el proceso de respuesta, se debe tener en cuenta la recogida y almacenamiento de pruebas para proporcionar información que pueda ser presentada a terceros. Si bien por su especial dimensión desarrollamos la notificación a la autoridad de control y la comunicación a los interesados en el siguiente apartado, para darle la relevancia que requiere no debemos olvidar que se trata de una fase más de la incidencia. gestión, que debe incluirse en su ciclo de vida.
Proceso de notificación
En el caso de grandes empresas con estructuras organizativas complejas, sería recomendable formalizar un procedimiento de notificación, estableciendo el proceso a seguir para comunicar violaciones de datos personales a las autoridades de control y, en determinados casos, a los interesados. Este procedimiento puede incluir detalles sobre cómo escalar notificaciones internamente y quién es el responsable de realizar cada una de las acciones dentro de la organización.
Nunca esperes a reportar una brecha a que se haya dado por solucionada. Será demasiado tarde
Implantación (suspensión de medidas excepcionales de contención, implantación de medidas preventivas para evitar incidentes): Implantación de las medidas en función de la estrategia adoptada, teniendo en cuenta tanto el proyecto de continuidad del negocio de la entidad como la criticidad y riesgo intrínseco de los activos afectados por el incidente. sin olvidar los procesos afectados y los datos tratados en los mismos. Verificación de la recuperación e implementación de medidas: No sólo se asegurará la recuperación a la situación previa al incidente, sino que se evaluará el análisis de riesgos y se incluirá la implementación de controles adicionales y periódicos por parte de la entidad para prevenir futuros incidentes similares.
NOTIFICA
Notificación a la Autoridad de Control - AEPD
No obstante, si existe alguna duda sobre las conclusiones alcanzadas en el análisis de riesgos, nuestra recomendación siempre será notificar la violación de datos personales, dada la especial relevancia que tiene siempre la transparencia cuando hablamos de riesgos para los derechos y libertades de los afectados. prioridades frente al riesgo de ser sancionados o riesgos reputacionales para nuestras organizaciones. Probabilidad de que se materialicen las consecuencias para los derechos y libertades de las personas afectadas.
Ante la duda, preventivamente mejor notifica tu brecha de datos personales
Si el responsable ha tomado medidas de protección tras la violación de datos personales que mitiguen total o parcialmente el posible impacto sobre el afectado y garanticen que ya no existe la posibilidad de que se materialice un riesgo elevado para sus derechos y libertades. El CEPD también proporciona una lista de ejemplos no exhaustivos que ayudarán a los controladores de datos a determinar si deben notificar en diversos escenarios de violación de datos personales, y también les ayudará a distinguir entre riesgo y riesgo alto para los derechos y libertades de las personas.
Utiliza la guía de la AEPD para saber cómo notificar, sigue los pasos
Comunicación a los interesados
Tipología de brecha
Tipo de colectivos
Tipo de datos y su combinación
Volumen de registros
Riesgo de identificación electrónica
Intencionalidad
Riesgo de identificación física
Tipo de receptor y sujeción previa a
Tratamiento de datos afectado con relación al
Estado de control sobre la información
Duración
Medios de materialización de la brecha
Calidad y perfilado de las bases de datos
Reversibilidad de los efectos
Auditabilidad, trazabilidad de logs y no repudio
Formas y plazos para comunicar
Monitoriza bien el proceso de comunicación
Notificaciones indirectas
Si comunicas a los afectados, usa medios fehacientes (graba las llamadas, envía correos electrónicos con acuse de lectura, envía correo postal
Evita, salvo que no veas otra solución, la notificación indirecta (hacerlo público), parece la vía más rápida pero no siempre es la más certera
Contenido de la comunicación a los afectados
Utiliza un lenguaje claro acorde al público al que se dirige
Supuestos de no comunicación a afectados
Si el responsable aún no ha notificado al afectado la violación de datos personales teniendo en cuenta el alto riesgo potencial, la Autoridad de Control podrá exigirle que: (i) se lo notifique; o (ii) podrá decidir que se cumple alguna de las condiciones antes mencionadas para que la comunicación con las personas afectadas no sea obligatoria. Además de la notificación a las distintas autoridades de control en materia de protección de datos que pueda resultar necesaria, es posible que para determinados sectores de actividad (operadores de servicios de comunicaciones electrónicas, proveedores de servicios de confianza, operadores de servicios esenciales, proveedores de servicios digitales, operadores de telecomunicaciones , proveedores de servicios de la sociedad de la información, compañías de seguros, servicios financieros, etc.), también existen obligaciones de comunicación y/o notificación ante determinadas incidencias de seguridad (se afecten o no datos personales). ) con otras autoridades o reguladores con competencias en esta materia, como CSIRT, INCIBE-CERT, CCN-CERT, etc.
Otros reguladores
Si no es necesario comunicar, se deberá dejar por escrito, y realizar un informe detallando los motivos por los cuales los afectados no fueron notificados, a fin de tener evidencia clara sobre la decisión. La transparencia y la información proporcionada a nuestros clientes en tiempo y forma puede ser decisiva para la evolución futura de la relación cliente-proveedor, desde una mejora de imagen por la adecuada gestión del gap hasta que se pueda considerar un incumplimiento contractual por su parte como sancionado. .
Terceros: encargados, ciberseguros
Es importante tener una metodología de comunicación escrita con estos clientes y un plan de comunicación periódico que muestre en todo momento el estado de sus datos. En cuanto a nuestros proveedores, también es importante, especialmente si están involucrados en alguna parte del proceso afectado, que les informemos.
Avisa a tus proveedores para que estén al corriente de los hechos y
RESUELVE
Plan de acción e Informe final
Además, el informe final servirá para recopilar toda la información y documentación relacionada con el incumplimiento para facilitar su investigación y revisión por parte de la dirección de la empresa y otros terceros involucrados. En este sentido, y a modo de ejemplo, se presenta un modelo de informe final sobre el cierre de brechas, como Anexo II.
Una brecha similar será una reiteración que
Gestión de partes implicadas
También se deben tener en cuenta las preguntas sobre las personas interesadas en cerrar la brecha. Con estos terceros, será importante comunicarse para cerrar la brecha con los clientes a los que atendemos, ya que ellos a su vez necesitarán esta información dentro de su proceso interno de Resolve.
Gestión del impacto público
Sabes que si hay una sanción tras la brecha se hará pública en el portal de la AEPD, anticipa que respuesta se debe dar alineada con la Dirección
También es recomendable ser transparentes con nuestros empleados publicando una nota informativa en la intranet corporativa o informando por correo electrónico de lo sucedido. La comunicación interna es muy importante porque demostrará la gestión de la privacidad en la empresa.
Seamos transparentes con nuestros empleados, informémosles de las brechas internas y sobre todo comuniquémosle si sus datos
Por lo tanto, debemos moderar el mensaje generalizándolo y omitiendo información de identificación personal para que pueda difundirse dentro de la misma empresa e, idealmente, incluso entre industrias o sectores relacionados. Seamos transparentes con los empleados, informémosles sobre las lagunas internas y, sobre todo, familiaricémosles con nuestros datos.
Especial cuidado con la circulación de la información de una brecha dentro de las organizaciones, o el detalle que se haga de ella, podría suponer o
Lecciones aprendidas
A partir del informe final de brechas, y como parte de la debida diligencia, se debe realizar un ejercicio final de lecciones aprendidas, que permita saber todo lo que salió mal en la gestión de la brecha específica o qué elementos son susceptibles de mejora. . Pero sobre todo, es fundamental utilizar toda la información recopilada durante el Gap Management para volver a la fase de PLANIFICAR en su apartado de análisis de riesgos, reevaluando riesgos conocidos, introduciendo nuevos, añadiendo o modificando controles.
CUMPLIMIENTO NORMATIVO Y PROTOCOLOS INTERNOS DE
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 26 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos - RGPD. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales - LOPDGDD.
Cumplimiento normativo de protección de datos
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de conducta y funcionamiento del sector público por medios electrónicos - Esquema Nacional de Seguridad - ETC.
Medidas procedimentales y jurídicas internas
Análisis de brechas en términos de lo estipulado en los contratos y acuerdos de comisión y de acuerdo a las medidas de seguimiento y control. También es muy importante concienciar y formar a todos los empleados de la empresa que acceden a datos personales en el desempeño de sus funciones.
Deberes con responsables y encargados de tratamiento en relación
ANTECEDENTES
- Breve resumen sobre el tratamiento o tratamientos impactados y sobre el proceso afectado por la brecha, que sirva para entender el posible impacto
Breve resumen del tratamiento o tratamientos afectados y del proceso afectado por la brecha, que sirve para comprender el posible impacto en el proceso afectado por la brecha, que sirve para comprender el posible impacto en las partes interesadas.
IDENTIFICACIÓN DE IMPLICADOS 1. Responsable del Tratamiento
- Encargado del Tratamiento o Encargados 2.3. DPD o persona de contacto
- Persona que detecta el incidente de seguridad y área 3. SOBRE EL INCIDENTE
- Descripción
ACCIONES Y/O MEDIDAS ANTERIORES AL INCIDENTE 1. Registro de Actividades de Tratamiento
MODELO DE INFORME FINAL
Protocolos internos, PCN, etc
CRONOLOGÍA DE LA BRECHA
- Resumen Cronológico (resumen de la bitácora de la brecha) 7. CIERRE O RESOLUCIÓN DE LA BRECHA
- Resumen Valoración final. Nota valorativa sobre impacto, las acciones
Esta sección de la guía busca ampliar la fase de planificación inicial de las organizaciones incorporando el análisis de posibles violaciones de la seguridad de los datos personales en el proceso de gestión de riesgos y/o la evaluación de impacto de nuevos tratamientos de datos. 33 del RGPD es que el responsable del tratamiento debe notificar a la autoridad de control una violación de la seguridad de los datos personales en los casos en los que se pueda esperar que suponga un riesgo para los derechos y libertades de las personas físicas afectadas.
RELACIÓN DEL PROCESO DE GESTIÓN DE
En este sentido, incorpora como caso especial de gestión integral las obligaciones del responsable del tratamiento respecto de la notificación a la Autoridad de Control de las violaciones de datos personales, así como la comunicación de las mismas a los interesados. En concreto, destaca que "la gestión de riesgos y la gestión de brechas son dos tareas que deben gestionarse de forma conjunta para evitar inconsistencias que puedan tener un impacto negativo en el proceso de gestión del tratamiento de datos personales o en los propios datos". gerentes.
RIESGOS Y EVALUACIÓN DE IMPACTO DE LOS TRATAMIENTOS DE DATOS PERSONALES CON
Identificación de los factores de riesgo inherentes al tratamiento
Para ello, el responsable del tratamiento deberá identificar los factores de riesgo asociados al propio tratamiento, entendidos como las fuentes que pueden dar lugar a la materialización de una violación de la seguridad de los datos personales que afecte a los derechos y libertades de los interesados. De acuerdo con lo establecido por la AEPD en la guía anteriormente referenciada, una forma de determinar los factores de riesgo asociados al tratamiento de datos personales es adoptar como referencia la normativa y demás guías vigentes.
Proponemos incorporar un análisis del potencial impacto de una brecha previo al momento de detección de la misma, en
Análisis de las posibles consecuencias o los daños y perjuicios que podrían ocasionarse con motivo de una brecha en el marco del tratamiento
Situación en la que el procesamiento o el resultado del procesamiento permitiría al controlador o a un tercero obtener más información sobre el interesado y. Divulgación de categorías especiales de datos Situación en la que el procesamiento o el resultado de las actividades de procesamiento permitirían al controlador o a un tercero obtener información relacionada.
Análisis de los derechos y libertades de los interesados potencialmente afectados por una brecha
Ejemplo basado en el tratamiento de datos realizado por dos responsables del tratamiento a través de una aplicación móvil. Por otro lado, el análisis de riesgos inicial que se realice para el tratamiento de los datos derivados de la App-Acceso-Streaming-Video deberá incluir al menos los siguientes factores de riesgo:
CONCLUSIONES AL ANÁLISIS DE ALGUNAS RESOLUCIONES SOBRE
EN QUÉ MOMENTO PASAMOS DE SER VÍCTIMAS A SER SANCIONADOS?
Nº de sanciones
Debe entenderse la importancia de afectar a categorías especiales de datos personales, como los datos de salud, que deben gozar de especial protección y consideración. La única justificación válida para la no notificación, notificación tardía o no comunicación de un incumplimiento a los interesados es la presentación de un Análisis de Riesgos para los derechos y libertades de los interesados del propio incumplimiento.
Análisis de Riesgos previo a la brecha – Imprescindible
La única forma de acreditar que las medidas de seguridad existentes antes de la brecha eran adecuadas y necesarias es presentar el análisis de riesgos preliminar del que se derivan dichas medidas, con una metodología que permita comprender todo el proceso de análisis así como las actuaciones previas. y las siguientes que se deriven de ella. Los retrasos en la notificación y/o la notificación de una infracción pueden justificarse si existe documentación que demuestre que los análisis de riesgos no han identificado riesgos para las partes interesadas que requirieran su notificación, sabiendo que en cualquier momento del ciclo de vida de la infracción se contabilizaron.
Análisis de Riesgos para los interesados vs. la empresa
En la comunicación y el análisis de brechas debe ser posible distinguir entre los riesgos que se aplican a la empresa y al interesado, siendo este último el foco principal del DPO. Si no se hace así, el riesgo de sanciones por incumplimiento de los artículos 33 y 34 del RGPD es muy alto.
Decisiones sobre notificación y/o comunicación de brechas - Análisis de Riesgos
Documentar y documentar
No sólo las violaciones relacionadas con la integridad y/o la confidencialidad de los datos están sujetas a los artículos 32 y 34. La comunicación y la investigación sobre análisis de riesgos, controles potenciales y, especialmente, nuevos tipos de ataques pueden ayudar a estar mejor preparados.
Disponibilidad
Es importante resaltar que los responsables no sólo deben tomar medidas de seguridad basadas en un análisis interno, sino que a medida que maduran los procedimientos y la inteligencia de los ataques, es importante considerar el contexto global y especialmente del sector. Se entiende que, si bien existen medidas técnicas y organizativas que los responsables y encargados de los tratamientos deben cumplir, en algunas ocasiones las sanciones impuestas por el organismo de control se ven agravadas por la falta de una respuesta adecuada a los requerimientos y quejas. .
Lecciones aprendidas sobre brechas en otros incumplimientos
Las brechas de disponibilidad también deben ser evaluadas, gestionadas y, dependiendo de los riesgos que representen para las partes interesadas, notificadas; En su mayoría quedan olvidados porque es mucho más común que sean recuperables y que no siempre suponen riesgos para los interesados. Además, las medidas deben ser resultado de un análisis de riesgo previo que tenga en cuenta el impacto sobre el interesado.
Calidad en la gestión de la brecha
Se considera negligente; v) Grado de responsabilidad del responsable: Se considera que las medidas técnicas y organizativas implementadas son insuficientes; (vi) cualquier violación previa cometida por el responsable; (vii) Categorías de Datos Personales Afectados: Consideran que “los datos personales afectados por el tratamiento son de carácter especialmente sensible al permitir la suplantación de la identidad”; (viii) Vincular la actividad del infractor con la actuación del personal encargado del tratamiento de datos de carácter. Art.83.2.a): el número de clientes de la entidad es elevado, así como el número de afectados.
Personales
