Durante el 2019, se realizaron más de veinte millones de comunicaciones de brechas de seguridad, directamente, de los responsables establecidos en España a los interesados. Está comunicación, de forma proactiva, por parte de los responsables del tratamiento muestra la importancia que tienen para ellos una adecuada gestión de las brechas de seguridad, como cumplimiento de la transferencia, y en consecuencia a ello, al mantenimiento de la confianza de los clientes al producto o servicio prestado por parte las empresas.
Pero ¿qué se entiende por brecha de seguridad?, para el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, define de modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no automatizado a dichos datos”. Se debe tener en cuenta que, aunque todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente brechas de datos personales.
Cuando ocurre una brecha de seguridad, el responsable del tratamiento debe poner en marcha un plan de actuación para minimizar y evitar mayores consecuencias. Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas, se debe notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que se tenga constancia.
Cuando la brecha de seguridad pueda entrañar un alto riego para los derechos y libertades de los titulares de los datos, el responsable del tratamiento deberá comunicar a los afectados, sin dilación indebida, la brecha de seguridad ocurrida. Está comunicación, se realizará después de realizar un análisis previo valorando que la comunicación a los afectados no compromete el resultado de una investigación en curso; dicha comunicación podría posponerse siempre bajo la supervisión de la autoridad de control. La comunicación a los afectados se realizará a la mayor brevedad posible, en un lenguaje claro y sencillo y siempre en estrecha cooperación con la autoridad de control. El objetivo que busca está obligación es eliminar la opacidad con la que, en ocasiones, se han abordado las brechas de seguridad por parte de algunas organizaciones, que han podido causar un riesgo muy elevado a los afectados, al no haber sido estos informados y no haber podido adoptar las medidas necesarias para protegerse. Un ejemplo de falta de transparencia fue el ataque sufrido por una teleoperadora en 2014 que afectó a más de 500 millones de usuarios, que no tuvieron conocimiento de la exposición de sus datos personales hasta 2016, es decir, hablamos de dos años después
La inadecuada gestión de las brechas de seguridad provoca un daño en la reputación de las empresas, al no contar con políticas internas que fomenten la implantación de modelos de gestión y gobernanza de los datos efectivos y diligentes. Una adecuada actuación ante una brecha de seguridad, le puede reportar al responsable del tratamiento un beneficio directo, ya no sólo por el cumplimiento de las obligaciones legales, sino por el impacto sobre la reputación de la empresa, como la pérdida de confianza por parte de los clientes.
En la actualidad, la reputación corporativa es un activo cada vez más relevante dentro de las organizaciones como instrumento creador de confianza y fidelización de sus productos o servicios, dentro de un entorno marcadamente competitivo. Estamos ante un activo intangible, que no aparece en el “pérdidas y ganancias” de la empresa, pero cada vez más empresas son conscientes de que la reputación tiene un impacto económico directo.
Por todo lo expuesto, la implantación de un protocolo de brechas de seguridad dentro de las organizaciones, junto con el desarrollo de políticas internas, la implantación de medidas de seguridad adecuadas, incluyéndose los sistemas de detección y análisis de intrusiones necesarios que permiten proteger los datos de los particulares y la información privada de la empresa, así como el establecimiento de mecanismos de prevención de ataques informáticos, disminuye considerablemente que se produzcan brechas de seguridad dentro de las organizaciones. Mas en el caso de que sucediera, teniendo en cuenta lo anteriormente expuesto, se podría actuar con mayor rapidez y agilidad evitando el consiguiente daño reputacional.