El pasado 25 de mayo se cumplió un año de la aplicación efectiva del Reglamento Europeo de Protección de Datos (RGPD). Ello cambió de forma radical la normativa de protección de datos tal y como la conocíamos añadiendo nuevas obligaciones que en la legislación española no existían, siendo una de ellas la Notificación de las brechas de seguridad ante la Autoridad de Control (en España la Agencia Española de Protección de Datos).
La AEPD, en cumplimiento de su obligación de transparencia, ha realizado varios informes sobre las violaciones de seguridad comunicadas ante este Organismo, indicando las brechas de las que ha sido notificada. En base al número de incidencias anunciadas se hace patente lo importante que es tener una buena política de seguridad que incluya las medidas de seguridad suficientes para mitigar los posibles daños que se pueden ocasionar si las amenazas de seguridad se materializan.
El último informe de la AEPD de este septiembre recoge las brechas de seguridad que han sido comunicadas en agosto de este año, en total 42. El mes que ocurrieron más notificaciones de violaciones de seguridad fue marzo de 2019, donde se llegaron a notificar 113 brechas de seguridad. Paulatinamente, y a medida que las organizaciones van tomando más conciencia de la importancia de la protección de los datos y la toma de medidas de seguridad para evitar o mitigar daños ha provocado una reducción importante de las comunicaciones de estas brechas.
Recordemos que una brecha de seguridad es cualquier violación o accidente que pueda ocasionar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o la comunicación o acceso no autorizado a los mismos y que, por lo tanto, afectan a la confidencialidad, disponibilidad y/o integridad de los datos que obran en nuestro poder.
Las comunicaciones más habituales de las que ha tenido constancia la AEPD han sido desde robos o pérdida de dispositivos, daños producidos por malware, hacking y envíos de datos personales ilícitos, pérdidas de documentación, phishing, correo perdido y datos personales mostrados de forma ilícita hasta revelación verbal y publicidad no intencionada. El 83% de estas notificaciones es de entidades privadas.
La tipología de las brechas que más se repite en estas comunicaciones es la vulneración de la confidencialidad. Esta es uno de los pilares básicos para un tratamiento de datos eficaz, junto con la disponibilidad e integridad de los datos. Con base en estos criterios, los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Las categorías de datos más afectados son los datos de categorías especiales, entre los cuales, los datos de salud siguen siendo los más vulnerables.
La brecha con mayor volumen de afectación de derechos y libertades de usuarios fue de 3 millones de personas.
Las comunidades que más notificaciones realizan son Madrid y Cataluña, seguidas de Andalucía, Galicia y Valencia.
Para que las brechas de seguridad cada vez sean menores, todos los responsables y encargados del tratamiento tienen la responsabilidad de cumplir con los principios que informa el RGPD así como poder demostrar que lo cumplen, mediante la responsabilidad proactiva. Es por ello que deberán llevar a cabo todas las medidas de índole técnicas y organizativas adecuadas a su propia situación. Dichas medidas podrían consistir en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales y dar transparencia a las finalidades del tratamiento de datos, entre otras. La adhesión a códigos de conducta puede ayudar a mitigar el riesgo con la identificación de buenas prácticas establecidas en los mismos.
Además de llevar a cabo las medidas adecuadas para evitar el riesgo, posteriormente a la brecha de seguridad ocurrida es necesario evaluar si las medidas dispuestas son las adecuadas. Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar que no se produzca una nueva violación de la seguridad de los datos personales. Todo ello se evalúa llevando a cabo el análisis de los tratamientos que se efectúan, seguido del análisis de riesgos, e incluso en los casos en los que sea necesario, realizar una evaluación de impacto para poder establecer las medidas necesarias.
El equipo de PymeLegal.
