Cómo notificar las brechas de seguridad para cumplir con GDPR

Notificar GDPR

Con la llegada de la nueva Normativa Europea de Protección de Datos la obligación de comunicar las fugas de información se extiende a todas las entidades que traten con datos de carácter personal.

Hasta el 25 de mayo de 2018, cuando se cumplió el plazo para que el Reglamento General de Protección de Datos (GDPR) fuese de obligado cumplimiento, las únicas empresas que debían comunicar por ley las brechas de seguridad eran las operadoras de servicios de comunicaciones electrónicas y los prestadores de servicios de confianza. Sin embargo, a partir de entonces este requisito se extiende a “todos los responsables de tratamiento”. Esto quiere decir que cualquier entidad que trabaje con datos personales tendrá que cumplir con esta obligación si se produjese una vulnerabilidad de datos.

Esto ocurriría si los datos personales transmitidos por los usuarios a dichas entidades se viesen destruidos, perdidos, difundidos o alterados, ya fuese accidentalmente o por medio de una actuación ilícita, como puede ser un ciberataque.

Pues, según reza la normativa europea, “una brecha de seguridad de este tipo de datos es susceptible de ocasionar daños y perjuicios físicos, materiales o inmateriales”.

Con GDPR los usuarios son mucho más conscientes de la importancia de la privacidad de su información personal. Por lo que, ante una vulnerabilidad de datos, podrían ejercer sus derechos y poner una reclamación ante la autoridad competente, llevando a las empresas a la posibilidad de ser penalizadas con multas de hasta 20 millones de euros o del 4% de la facturación total anual, lo que sea mayor.

Ante un panorama como éste, y en el que, según un informe de DLA Piper, los usuarios han realizado más de 59.000 reclamaciones en pocos meses, las empresas deben tener en consideración que el artículo 33 de GDPR establece la obligación de notificar a la autoridad de control competente cualquier brecha de seguridad, sin dilaciones indebidas y en un plazo máximo de 72 horas desde que se haya tenido constancia del incidente.

Además, no debe esperarse a saber con total seguridad que se ha producido una fuga de información, sino que lo más indicado es notificar a la Agencia Española de Protección de Datos (AEPD) la mínima sospecha de alteración indebida de la misma, ya que la notificación será obligatoria a no ser que se pueda demostrar que la brecha de seguridad no ha constituido un riesgo para los derechos y libertados de los interesados.

Esta comunicación, junto con la elaboración de planes de actuación y de contingencia ante vulnerabilidades de datos, podría minimizar e incluso borrar la posibilidad de recibir una sanción económica. Por ello, todas aquellas entidades que traten con datos personales deberían entender los nuevos trámites y funciones que esto requiere. Explicaremos cómo elaborar un plan de actuación y cómo notificar debidamente las posibles fugas de datos.

Elaborar un plan de actuación

Según explica la propia AEPD en su Guía para la gestión y notificación de brechas de seguridad, la obligación de notificar las brechas de seguridad no pasa solo por ese trámite, sino que la notificación “forma parte de un todo que se integra dentro de lo que hasta ahora sería el registro y procedimientos de gestión de incidencias que a su vez forman parte de la gestión de la seguridad de la información”. En otras palabras, las entidades responsables del tratamiento de datos no solo están obligadas a notificar, sino también a establecer diferentes procedimientos para proteger la información que manejan. De esta forma, cumplirán con su cometido de salvaguardar la seguridad del tratamiento y, en consecuencia, los derechos y libertades de los interesados, que es la finalidad última de GDPR.

Para elaborar un plan de actuación ante brechas de seguridad, lo primero será establecer mecanismos de detección e identificación para las mismas. Se identificarán las situaciones a considerar y se concretarán las herramientas, mecanismos de detección y sistemas de alerta.

Una vez una entidad pueda estar al tanto de los incidentes de seguridad que ocurran y que afecten a los datos con los que tratan, deberá tener un plan de actuación para mitigar los riesgos de que se vean comprometidos.

Cuando se ha comprobado que existe una brecha de seguridad, el primer paso del plan de actuación será determinar si es probable que se haya producido un riesgo para los derechos y libertades de las personas físicas a las que pertenecen los datos personales que trata una organización. Pues, en caso afirmativo, estaríamos obligados a realizar la notificación ante la AEPD y ante los interesados. Y, en ese caso, hay que aportar una extensa documentación.

Para averiguar si existe esta probabilidad, un experto en informática forense deberá realizar un informe que además será útil administrativamente y en caso de que tenga que celebrarse un juicio. Con esto, podrá realizarse un documento final que contenga toda la información referente a la vulnerabilidad de datos.

En este informe se deben recopilar y custodiar todas las evidencias que puedan ser relevantes para el estudio del incidente y que pueda servir para prevenir casos similares en un futuro.

El siguiente paso será el cierre de la brecha de seguridad, que será llevada a cabo por un equipo de respuesta a incidentes perteneciente a los departamentos de informática o seguridad de la organización.

Durante este procedimiento, los expertos contendrán el incidente, erradicarán la situación generada por el mismo y recuperarán los datos que se hayan perdido o alterado por el mismo.

Estas acciones suelen solaparse unas a otras, ya que todas ellas son necesarias para volver al estado anterior de haberse producido una vulnerabilidad de datos y mitigar los posibles riesgos de la fuga de información.

Para entender las diferentes fases del cierre de la brecha podemos poner el ejemplo de un ransomware. Un ciberataque que ‘secuestra’ la información de los equipos y que se replica por todos los sistemas conectados a una red. Ante un caso como este, un proceso de contención adecuado sería desconectar los aparatos afectados por el ciberataque de la red, para evitar que el ‘virus’ se siga esparciendo. Si además el incidente hubiera implicado acceso a información como credenciales de acceso, habría que realizar cambios en todas ellas para impedir el acceso de terceros una vez se eliminase la amenaza.

Erradicar la situación sería el proceso de eliminar el ‘ransomware’ de los sistemas afectados. En probabilidades como ésta, la solución pasaría por restaurar de fábrica los equipos. De este modo, podríamos pasar a la siguiente fase, que sería la de recuperar los sistemas al estado anterior al ataque. Para ello, tendrían que instalarse las pertinentes copias de seguridad, que deberían haberse realizado de forma sistemática como parte de las buenas prácticas en seguridad de cada organización.

Las acciones de recuperación tienen como objetivo restablecer el servicio en su totalidad, de forma que tras realizar todo el proceso habría que confirmar que vuelve a funcionar con normalidad.

Ante cualquier tipo de incidente, las organizaciones deberían tomar nota para tenerlo en cuenta en sus planes de prevención, ya que alguna de las estrategias que están en marcha para proteger la información de las personas podría haber fallado. O, por otra parte, podría haber ocurrido algo que no se había considerado en un principio.

Así, todo lo aprendido al documentar la vulnerabilidad de datos y el cierre de la misma debería ser incluido en la estrategia de prevención, incluyendo no sólo el mapa de riesgos sino también los mecanismos de control, con el fin de evitar que vuelva a suceder un incidente similar.

Una vez cerrada la brecha de seguridad será necesario notificar la misma a la autoridad competente, que en nuestro país es la AEPD. Este organismo comprobará con las pruebas se aporten que se ha cumplido con GDPR y que se han utilizado las medidas de protección adecuadas. Si se hubiera cumplido con los requisitos, es muy probable que el incidente de seguridad no incurra en una sanción económica.

Cómo notificar una brecha de seguridad

El primer requisito para la comunicación de la vulnerabilidad de datos es cumplir con el plazo de 72 horas que impone la normativa europea. Si existe demora en realizar dicha notificación, deberán darse explicaciones a la autoridad de por qué se ha producido el retraso. También se podrá notificar en plazo que ha existido una brecha y especificar que se aportará la documentación necesaria más delante de forma gradual, aunque siempre cumpliendo con la máxima prontitud y justificando el retraso del informe.

Según el artículo 33 de la normativa GDPR, a la hora de notificar una vulnerabilidad de datos hay que cumplir con una serie de requisitos mínimos, como la naturaleza del incidente, la categoría de los datos e intereses vulnerados y las medidas adoptadas para solucionar la brecha y paliar sus efectos. Para adjuntar toda esta información, la AEPD ha puesto a disposición de los responsables del tratamiento de datos un formulario de notificación.

En el mismo, se solicita distinta información, como por ejemplo los datos identificativos y de contacto del responsable de tratamiento (la entidad) aportando una persona de contacto, que debería recaer en el Delegado de Protección de Datos (DPO) si está designado. También habrá que aportar la fecha y hora de la detección de la brecha de seguridad y de la producción del incidente, así como la duración el mismo.

Los organismos competentes también querrán saber en qué circunstancias se ha producido la vulnerabilidad. Es decir, si se han perdido, robado, copiado o divulgado los datos. La naturaleza y contenido de la información afectada también será un dato obligatorio, así como los posibles efectos negativos y consecuencias que podrían tener sobre los usuarios.

Después del envío de la información pertinente a la AEPD, será necesario notificar la brecha de seguridad también a los usuarios afectados. En el caso de las grandes empresas, por la cantidad de información con la que tratan, esta comunicación puede hacerse por medio de un canal público, como un medio de comunicación, para no tener que avisar individualmente a cada afectado.

La información que se aporte a los usuarios no debe ser la misma que la que se facilita a las autoridades competentes, pues debe estar conformada por un mensaje claro y conciso que sea comprensible por cualquier persona. De forma que sepan qué actuación individual llevar a cabo para proteger su información. Como por ejemplo el cambio de contraseña en sus cuentas. De hecho, para que los riesgos sean los mínimos para los afectados, GDPR insiste en que esta notificación debe realizarse lo antes posible para que estos puedan tomar medidas.

En conclusión, el trabajo de notificar una brecha de seguridad no pasa solamente por el mero hecho de comunicarla, sino que habrá que realizar un trabajo continuo de protección de la información personal de los usuarios, llevando a cabo la concienciación necesaria hacia los empleados que tratan con la misma y realizando los planes de prevención y actuación pertinentes.

Entradas recomendadas