Directrices para la gestión de brechas de seguridad

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que puede ocasionar destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

El RGPD-EU establece en su artículo 33.5 que el Responsable deberá documentar los incidentes relacionados con cualquier violación de seguridad de los datos personales incluyendo los hechos relacionados con este, sus efectos y las medidas correctivas que haya adoptado. Es esencial documentar los incidentes o brechas de seguridad que afecten o puedan afectar a la disponibilidad, integridad y confidencialidad de los datos personales pues la Autoridad de Control está facultada a verificar el cumplimiento de esta obligación de documentación.

La información mínima que la AEPD tiene en consideración es la siguiente:

- Identidad del Responsable del tratamiento

- Identidad del Encargado del tratamiento cuando proceda

- Identidad de otras organizaciones implicadas en la brecha

- Fecha y hora en la que se produce la brecha

- Fecha y hora en la que se tiene conocimiento de la brecha

- Forma en la que se ha tenido conocimiento de la brecha

- Resumen del incidente

- Origen del incidente (interno, externo, etc.)

- Tipo de incidente (confidencialidad, integridad, disponibilidad)

- Categorías de datos afectados

- Datos o informaciones especiales (ej. creencias religiosas, afiliación sindical, vida sexual, origen racial, opinión política, salud, genéticos, biométricos, desconocidos, etc.)

- Volumen aproximados de datos afectados, tanto en número de registros como de personas afectadas.

- Categorías de personas afectadas (clientes, usuarios, empleados, suscriptores, estudiantes, pacientes, estudiantes, menores, personas en riesgo de exclusión, etc.)

- Medidas de seguridad previas al incidente y adoptadas con posterioridad

- Comunicación a la Autoridad de Control (AEPD)

- Comunicación a los interesados

Este documento tiene por finalidad facilitar la comunicación a DP-CONTROL para llevar a cabo un análisis previo sobre el incidente, valorar su severidad, así como las posibles consecuencias sobre los afectados. De esta manera, si se determina que la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas, se deberá notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga conocimiento del incidente. Para realizar la notificación ante la AEPD, será imprescindible disponer de la información que se ha destacado anteriormente.

Si además el incidente en cuestión entraña un alto riesgo para los derechos y libertades de los sujetos cuyos datos se han visto expuestos, se deberá comunicar, sin dilación indebida, a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Dicha comunicación se debe explicar claramente lo sucedido y las medidas recomendadas que puedan adoptar para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.

En caso de actuar como Encargado del tratamiento y sufrir un incidente de seguridad con afectación a los datos personales, la comunicación deberá dirigirse sin dilación al Responsable del tratamiento para que pueda valorar si notificar ante la AEPD y comunicar a los afectados.  En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contrato mediante el cual se establece el encargo del tratamiento.