Gimeno Compliance

37 brechas de seguridad se han notificado a la AEPD desde el pasado 25 de mayo, fecha de entrada del RGPD

37 brechas de seguridad se han notificado a la AEPD desde el pasado 25 de mayo, fecha de entrada del RGPD

20/06/2018

En : Confilegal

Por Luis Javier Sánchez

 

Contar con un Plan de acción para poder minimizar la brecha o incidente de seguridad es clave ante este tipo de incidencias que ninguna empresa está a salvo. Desde el pasado 25 de mayo que entró en vigor el Reglamento Europeo de Protección de Datos las empresas españolas habían notificado a la AEPD 37 brechas de seguridad.

Ninguna de ellas ha generado en un procedimiento sancionador, según fuentes del regulador español.

Fruto dela colaboración entre entidades públicas, como la Agencia Española de Protección de Datos (AEPD), el Centro Criptológico Nacional (CCN), el Instituto Nacional de Ciberseguridad (INCIBE) y el ISMS Forúm, entidad privada volcada en la seguridad de la información se ha gestadola ‘Guía para la gestión y notificación de brechas de seguridad’,  presentada este martes de cara a orientar como deben gestionar estos incidentes los responsables del tratamiento de datos en las empresas, con el objetivo de facilitar la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Fue la directora de la AEPD, Mar España, quien explicó el alcance de esta Guía de cara a poder ofrecer unos criterios claros sobre cómo detectar, minimizar y con posterioridad notificar la brecha de seguridad a la entidad reguladora.

Destacó que gracias a la sede electrónica que dispone este regulador de privacidad se puede enviar la información por esa vía con el consiguiente ahorro de tiempo.  También señaló que ahora el RGPD obliga a que tras la notificación al regulador se comunique esa brecha también a terceros implicados.

En la actualidad, el propio RGPD obliga a las empresas a notificar a su regulador en privacidad en cada país esa brecha de seguridad si atenta sobre los derechos fundamentales de terceros. En esa obligación hay un plazo de 72 horas para esa notificación.

“Es importante que las empresas tengan un Plan de actuación sobre esas brechas. Cuando las detecten deben ponerlo en marcha y cuando minimicen el impacto es el momento de notificar al regulador”, indicó Carlos Saiz, socio de Ecix Group y presidente de ISMS Forum.

Desde INCIBE, su secretario general, el abogado Francisco Pérez Bes, recordó que esta entidad pone a disposición de empresas, pymes y particulares herramientas para gestionar dichos incidentes de seguridad.

Algunos están en el Anexo V de dicha Guía “Es fundamental que entre todos creemos una cultura de seguridad de la información para advertir que estos incidentes son cada vez más frecuentes y que lo mejor es tener un Plan de contingencia”.

La guía consta de cinco bloques relacionados cada uno de ellos con una etapa del proceso de gestión de brechas.

En primer lugar, la detección e identificación ofrece detalles sobre cómo estar preparado, que incluyen sistemas de software de antivirus, de alertas o la existencia de un soporte documental para canalizar las respuestas.

Para Andrés Calvo, responsable de la Unidad de Evaluación y Estudios Tecnológicos de la AEPD “ el principal problema es saber que has sufrido una brecha de seguridad, no siempre uno lo ve a primera vista”. Darse cuenta que esa empresa ha sufrido un incidente de ese tipo puede suponer entre dos o tres meses de conocimiento, otro tiempo igual para dar una respuesta adecuada a dicho problema que surge en el seno de la empresa”.

A juicio de este experto “ el gran problema son las brechas de seguridad que se generan por algún elemento interno. Con esta Guía hemos querido presentar un protocolo de cara a que empresas y entidades de cualquier índole puedan gestionarlas y minimizar su impacto en la medida de lo posible”.

Calvo, al igual que el resto de expertos que intervinieron en esta presentación, cree que lo primero que se debe hacer es gestionar ese incidente y al final, dentro del plazo de 72 horas marcado por la norma, notificarlo al regulador”.

Definir bien el Plan de acción

En ese Plan de Actuación, el técnico de la AEPD recordó que era bueno tener al menos implicados al Delegado de Protección de Datos (DPO), responsable de seguridad y encargado de los tratamientos de los datos.

“Y a partir de ahí implicar a otras áreas de la empresa que hayan sido afectadas por dicha brecha de seguridad”. También recordó que es fundamental diseñar bien los procesos y documentarlo todo, sobre todo de cara a la notificación a la AEPD.

“Si hemos hecho todo lo posible y lo podemos demostrar, es factible que no nos sancionen”, aclaró.

El plan de actuación comprende los aspectos relativos a cómo proceder en caso de incidente teniendo en cuenta los organismos y autoridades implicadas en la brecha y medidas de contención.

La clasificación, por su parte, permite analizar con precisión el problema basándose en su peligrosidad y el impacto que pueda tener sobre los derechos y libertades de la gente.

Una vez delimitada e identificada la brecha, se procede a efectuar una respuesta para solucionar el problema.

Tras la puesta en práctica de la solución, el proceso acaba con la obligada notificación a la autoridad de control. Dentro de la guía se incluyen dos anexos en los cuales se muestran modelos de notificación, entre ellos el utilizado por la sede electrónica de la AEPD.

 

Enlace: https://confilegal.com/20180620-37-brechas-de-seguridad-se-han-notificado-a-la-aepd-desde-el-pasado-25-de-mayo-fecha-de-entrada-del-rgpd/