Directrices para la gestión de brechas de seguridad
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que puede ocasionar destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
El responsable del tratamiento debe estar preparado para esta posibilidad antes de que ocurra, habiendo debido determinar quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.
Una vez ha tenido lugar, el responsable del tratamiento debe poner en marcha el plan de actuación definido, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.
Además, el Reglamento establece en su artículo 33.5 que el responsable deberá documentar los incidentes relacionados con cualquier violación de seguridad de los datos personales incluyendo los hechos relacionados con este, sus efectos y las medidas correctivas que haya adoptado. Es importante documentar los incidentes o brechas de seguridad que afecten o puedan afectar a la disponibilidad, integridad y confidencialidad de los datos personales pues la Autoridad de Control está facultada a verificar el cumplimiento de esta obligación de documentación de las brechas de seguridad sufridas. Por tanto, cualquier información recabada en este sentido será muy útil a la hora de decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la Autoridad de Control y en su caso a los afectados.
La información mínima que debe tener en cuenta es la siguiente:
- Identidad del responsable del tratamiento
- Identidad del encargado del tratamiento cuando proceda
- Identidad de las organizaciones implicadas en la brecha
- Fecha y hora en la que se produce la brecha
- Fecha y hora en la que se tiene conocimiento de la brecha
- Forma en la que se ha tenido conocimiento de la brecha
- Resumen del incidente:
- Origen del incidente (interno, externo, etc.)
- Tipo de incidente (confidencialidad, integridad, disponibilidad)
- Categorías de datos afectados
- Datos o informaciones especiales (ej. creencias religiosas, afiliación sindical, vida sexual, origen racial, opinión política, salud, genéticos, biométricos, desconocidos, etc.)
- Volumen de datos afectados, tanto en número de registros como de personas afectadas.
- Categorías de personas afectadas (clientes, usuarios, empleados, suscriptores, estudiantes, pacientes, estudiantes, menores, personas en riesgo de exclusión, etc.)
- Medidas paliativas y preventivas
- Comunicación a la Autoridad de Control (AEPD)
- Comunicación a los interesados
En este apartado se facilita un modelo de registro de incidentes para su documentación y archivo a los efectos arriba indicados.
Ante el suceso de una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad. Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del formulario habilitado en la Sede electrónica. Para rellenar el formulario de comunicación será muy útil tener de antemano clara la información relevante para la brecha que se ha destacado anteriormente, de ahí la importancia de su documentación.
Si el incidente en cuestión entraña un alto riesgo para los derechos y libertades de los sujetos cuyos datos se han visto expuestos, deberá además comunicarlo, sin dilación indebida, a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
Si está actuando como encargado del tratamiento y sufre un incidente de seguridad con afectación a los datos personales, debe informar al responsable del tratamiento sin dilación para que este pueda valorar si notificar ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contrato mediante el cual se establece el encargo del tratamiento.
Para más información puede consultar la guía para la gestión y notificación de brechas de seguridad publicada por la Agencia Española de Protección de Datos
Modelo de hoja de registro de incidentes
| HOJA DE REGISTRO DE INCIDENTES | Nº ______ | |||||||||||||||||||||||
| Responsable del tratamiento: | ||||||||||||||||||||||||
| ¿el incidente ha tenido afectación en un encargado de tratamiento? | Sí □ No □ | |||||||||||||||||||||||
| Nombre de la organización | ||||||||||||||||||||||||
| Datos de persona de contacto: | ||||||||||||||||||||||||
| Información adicional:
|
||||||||||||||||||||||||
| Información del incidente | ||||||||||||||||||||||||
| Fecha/Hora del incidente: | ||||||||||||||||||||||||
| Fecha/hora de detección: | ||||||||||||||||||||||||
| Medios de detección del incidente: | ||||||||||||||||||||||||
| Origen del incidente: | Interno □ Externo□ | |||||||||||||||||||||||
| ¿Se ha comunicado el incidente a la Autoridad de Control? | Sí □ No □ | |||||||||||||||||||||||
| ¿Se ha comunicado el incidente a los afectados? | Sí □ No □ | |||||||||||||||||||||||
| Persona que realiza la comunicación: | ||||||||||||||||||||||||
| ¿Se ha resuelto el incidente? | Fecha/hora resolución: | |||||||||||||||||||||||
| Resumen del incidente: | ||||||||||||||||||||||||
| Tipología del incidente: | Confidencialidad □ Integridad □ Disponibilidad □ | |||||||||||||||||||||||
| Categoría de los datos afectados: | ||||||||||||||||||||||||
| Datos básicos □ | Credenciales de acceso/identificación □ | DNI/NIE/Pasaporte □ | ||||||||||||||||||||||
| Datos de contacto □ | Datos económicos/financieros □ | Datos de localización □ | ||||||||||||||||||||||
| Otros: | ||||||||||||||||||||||||
| Datos o informaciones especiales: | ||||||||||||||||||||||||
| Datos de religión o creencia □ | Datos de salud □ | Datos de opinión política □ | ||||||||||||||||||||||
| Datos de origen racial □ | Datos de afiliación sindical □ | Datos sobre vida sexual □ | ||||||||||||||||||||||
| Datos genéticos □ | Datos biométricos □ | Datos sobre condenas e infracciones penales □ | ||||||||||||||||||||||
| Otros: | ||||||||||||||||||||||||
| Categorías de personas afectadas | ||||||||||||||||||||||||
| Clientes □ | Usuarios □ | Empleados □ | Proveedores □ | |||||||||||||||||||||
| Potenciales clientes/usuarios □ | Suscriptores □ | Estudiantes □ | ||||||||||||||||||||||
| Menores □ | Personas en riesgo de exclusión □ | Pacientes □: | ||||||||||||||||||||||
| Otros: | ||||||||||||||||||||||||
| Volumen de datos afectados: | En nº registros ______ En nº afectado ______ | |||||||||||||||||||||||
| Relación de medidas correctivas y preventivas adoptadas | ||||||||||||||||||||||||