Qué implica una brecha de seguridad

Llamamos “brechas de seguridad” a los errores, fallos de funcionamiento o ataques intencionados en los sistemas de información de una empresa, es decir, hace referencia a que personas no autorizadas tengan acceso a la información y/o datos de una compañía. Esto es muy grave, ya que implica la vulneración de los datos personales de todos los clientes, colaboradores, etc, que tenga esa empresa; y el posible uso fraudulento o malintencionado de los mismos.

A pesar de los constantes avances informáticos, no hay ningún sistema 100% blindado a posibles ataques. Por eso, la ley ha intentado contribuir a evitar esos ataques estableciendo unas normas bastante estrictas sobre el uso y gestión de datos personales, además de importantes sanciones en caso de incumplimiento. Es lo que conocemos, sobre todo, como la LOPD, Ley Orgánica de Protección de Datos, aunque en realidad esta ley sólo establecía ciertas obligaciones relacionadas con la prevención y que corresponden a los responsables de esos ficheros y a los encargados de su tratamiento. También las leyes sobre telecomunicaciones y sociedad de la información incluyen disposiciones dedicadas al mantenimiento de la seguridad y la gestión de incidentes relacionados con los datos personales.

Precisamente por estas limitaciones que tiene la LOPD original, en 2016 el Parlamento Europeo aprobó el Reglamento General de Protección de Datos (RGPD) con el fin de modificar y ampliar la legislación y de unificar las normas al respecto en toda la Unión Europea. Se hacía necesario, además, introducir nuevos principios, derechos, figuras y requisitos debido al vertiginoso auge de las nuevas tecnologías.

Este nuevo reglamento no entró en vigor hasta el pasado 25 de mayo de 2018, cuando todos sufrimos el bombardeo por parte de empresas, medios y webs de todo tipo “informándonos” sobre nuestros nuevos derechos en la materia y solicitándonos “autorización” para seguir tratando nuestros datos, so pena de no poder usar sus servicios o acceder a su información sin dar dicha autorización.

Obligaciones ante una brecha de seguridad

El RGPD regula también el protocolo a seguir por los responsables del tratamiento de datos personales ante una brecha de seguridad. Concretamente en su artículo 33: “en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”.

Del mismo modo, las brechas de seguridad deben ser notificadas a los afectados con la máxima premura posible, aunque para no crear alarma innecesariamente, se recogen algunas excepciones en las que podemos saltarnos este paso:

  1. Si previamente a la violación de datos, se han adoptado medidas que protegen a los usuarios, como puede ser el cifrado.
  2. Cuando no hay posibilidad de que el riesgo se materialice, normalmente por haber tomado medidas preventivas.
  3. Cuando la cantidad de afectados sea tan grande que sea más eficiente hacer una comunicación pública en lugar de una notificación individual a cada uno de ellos.

Ahora ya conocemos un poco más a fondo lo que es una brecha de seguridad y las responsabilidades y obligaciones que conlleva, tanto para evitar los ataques como a la hora de responder correctamente y de acuerdo a la ley en caso de sufrir uno.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

0

Tu carrito