Las brechas de seguridad ya son una cuestión crítica para las empresas y organizaciones.
Des de mucho antes de su detección, una brecha de seguridad puede causar dificultades operativas a las empresas. Un simple error en el envío de un correo, la pérdida de un dispositivo, un ataque de ransomware, el acceso indebido a información confidencial puede generar graves consecuencias legales y reputacionales.
Ante un incidente que provoque la pérdida, alteración, divulgación o acceso no autorizado a datos personales, el RGPD exige cumplir con una serie de obligaciones que pasan por una notificación a la Autoridad de Control competente o por una comunicación a los posibles afectados.
La ley nos da 72 horas que van a ser claves y la rapidez y coordinación en las actuaciones van a marcar la diferencia.
Paso a paso
- La prioridad inmediata debe ser frenar el incidente. Esto implica tomar medidas como bloquear accesos o credenciales comprometidas, aislar sistemas o equipos afectados, detener envíos erróneos, etc.
Estas decisiones técnicas deben ir siempre dirigidas por el equipo técnico para evitar eliminar evidencias que puedan servir más adelante para identificar lo ocurrido.
- Identificar afectaciones causadas por la brecha: qué ha pasado y el tipo y volumen da datos y personas afectados. Esta fase es relevante puesto que las consecuencias y las decisiones a tomar no van a ser las mismas en todos los casos.
- Valorar si la brecha identificada puede afectar a los derechos y libertadas de las personas interesadas. O por lo contrario se determina que no hay riesgo. Estos riesgos pueden ser de distinta índole: pérdida de control sobre los datos personales, suplantación de identidad, robo de credenciales, perjuicios reputacionales, afectación de datos sensibles.
Si se concluye que hay riesgo se deberá notificar a la Autoridad de Control, si además se considera que el riesgo es alto, también será necesario comunicar el incidente directamente a los afectados.
También se deberá valorar en este momento si se debe comunicar el incidente a otras autoridades o cuerpos policiales.
- Notificar, si procede, el incidente a la Autoridad de Control. Aunque todavía no dispongamos de toda la información es importante cumplir los plazos establecidos por la normativa. Más adelante se podrá acabar de completar.
- Comunicar, si procede, la brecha a los afectados. Esta comunicación debe ser clara, útil y comprensible. La transparencia bien gestionada ayuda a proteger la confianza y a reducir el impacto reputacional.
Procesos a tener en cuenta después de gestionar una brecha de seguridad
El RGPD exige documentar y registrar la brecha y las medidas acordadas para su gestión y resolución.
Un registro interno completo y actualizado aporta trazabilidad y refuerza la posición de la organización ante revisiones, reclamaciones o inspecciones.
Integrar en la cultura corporativa el entrenamiento ante posibles incidentes es eficaz y empodera al conjunto de los trabajadores. Medidas preventivas como la formación, disponer de políticas internas claras, implementar medidas de seguridad robustas, son especialmente eficaces.
Las primeras 72 horas son vitales para cumplir con el RGPD. El proceso de contener una brecha, identificar informaciones clave y notificar y documentar requiere de una respuesta rápida y coordinada.
La correcta gestión de una brecha de seguridad reduce el impacto legal y reputacional del incidente.