Escletxa de seguretat: característiques generals


Què són? Quan es produeixen? Quan he de comunicar-les? Aquestes són les preguntes que ens genera el concepte de violacions de seguretat que la normativa va introduir en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la Protección de les persones físiques en el que respecta al tractament de dades personals i la lliure circulació d’aquestes dades (d’ara endavant RGPD).

Què són les violacions de seguretat?

EL RGPD ens defineix al seu article 4 la violació de seguretat com “tota violació de la seguretat que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals trameses, conservades o tractades d’una altra forma, o la comunicació o accés no autoritzat a les citades dades”. És important que es prenguin mesures adequades a temps, ja que les violacions de la seguretat de les dades personals poden comportar danys i perjudicis físics, materials o immaterials per les persones físiques, com la pèrdua de control sobre les seves dades personals o  restricció dels seus drets, discriminació, usurpació d’identitat, pèrdues financeres, reversió no autoritzada de la seudonimització, danys a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altres perjudici econòmic o social significatiu per la persona física en qüestió (Considerant 85 RGPD). 

Quan es produeixen les violacions de seguretat?

Els escenaris habituals de violacions de seguretat les podem conèixer a través de l’Informe de Notificacions de Violacions de Seguretat de data març 2019, publicat per l’AEPD, en el que s’estableixen dades en relació a comunicacions de violacions de seguretat i quines són les situacions més habituals. No més al març de 2019 s’han rebut per part de l’AEPD 113 notificacions i l’escletxa amb major volum d’afectats és de 40 milions de persones, però la major part de comunicacions es relatiu a afectacions d’entre 0 a 99 afectats.  

Les comunicacions més habituals són per:

  • atacs de hacking, seguits per
  • robatori o pèrdua de dispositius
  • malware
  • robatori o pèrdua de documentació
  • dades personals enviades

En abundants comunicacions l’afectació era sobre dades de categories especials, sobretot de salut.

Quan haig de comunicar les violacions de seguretat? 

Quan ens succeeix una violació de seguretat s’ha de procedir a l’anàlisi de la mateixa per determinar si es tracta d’una bretxa de confidencialitat, integritat o disponibilitat, la categoria i número d’afectats, amb la finalitat d’avaluar el nivell de perjudici que pot ocasionar l’incident als drets i llibertats dels afectats. Un cop ja s’ha identificat i determinat la violació de seguretat es posa en marxa el pla de resposta. Per regla general, les primeres mesures que es realitzen són te contenció per així poder tractar de limitar al màxim possible els danys de l’incident. 

Erradicat l’incident, s’inicia la fase de recuperació. Aquesta fase te com objectiu el restabliment del servei a la normalitat, confirmant així el funcionament normal i evitant que succeeixin nous incidents basts en la mateixa causa. Una vegada finalitzat el procediment, s’ha d’elaborar un informe de resposta en el que consti tot el procediment seguit i la realització d’un anàlisi que permet extreure conclusions i lliçó apreses. 
A l’hora de decidir si s’ha de notificar un determinat incident de seguretat, s’ha de tenir en compte el potencial dany per a tots els interessats, el volum de dades afectades i verificar si les dades afectades enquadren dins de les especialment sensibles.

Quan es produeixi una violació se la seguretat de les dades, el responsable ha de notificar-la a l’autoritat de protecció de dades competent, sense dilació indeguda i, a ser possible, dins de les 72 hores següents a que s’hagi tingut la constància d’aquesta, notificar la violació de la seguretat de les dades personals a l’autoritat competent. Si aquesta notificació no és possible en el termini indicat, ha d’acompanyar-se d’una exposició dels motius de la dilació, podent facilitar-se la informació per fases.  

Per tant:

  1. Valorar el risc
  2. Avaluar si hi ha danys materials o immaterials
  3. Calcular l’abast
  4. Si hi ha alt risc o gran impacte
  5. Comunicar a l’AEPD 

Excepcions del procediment de comunicació de la bretxa 

Si el responsable pot demostrar, atenent al principi de responsabilitat proactiva, la improbabilitat de que la violació de la seguretat de les dades personals entranya un risc pels drets i les llibertats de les persones físiques  no serà necessari que aquesta bretxa sigui comunicada als interessats. El responsable haurà d’analitzar subjectivament el supòsit concret i determinar l’improbable risc.

La notificació als interessats no serà necessària quan:

  • El responsable hagués adoptat mesures de protecció tècniques i organitzatives apropiades abans de la violació de seguretat, de tal amena que aquestes mesures facin inintel·ligibles les dades per tercers, com seria el xifrat.  
  • Quan el responsable hagi pres mesures amb posterioritat a l’incident que garantissin que ja no hi ha possibilitat que l’alt risc es materialitzi.  
  • Quan la notificació suposa un esforç desproporcionat, havent de substituir-se aquesta comunicació per una comunicació pública. 

Necessites més informació sobre com gestionar les violacions de seguretat i/o quin protocol cal seguir? Contacta’ns i t’informarem sense cap mena de compromís.