Dentro de las novedades que dejó plasmada Europa, en su constante misión de concienciación sobre la importancia en la protección de datos personales, nos encontramos con la implantación de la figura de la “brecha de seguridad” en el REGLAMENTO (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
En el derecho español se traspuso el Reglamento a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, con la denominación de “incidente de seguridad”, que a su vez deriva en La Agencia Española de Protección de Datos ( AEPD) el desarrollo de las herramientas, guías, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeñas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa.
Pero ¿en qué consiste la brecha de seguridad?, la AEPD aclara que una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
Desde siempre la normativa sobre protección de datos ya obligaba a llevar un registro de incidencias, que en su versión actualizada serían estas “brechas”, por tanto la verdadera novedad, no es tanto realizar este registro sino que ahora es obligatorio que cualquier brecha de seguridad se comunique a las autoridades competentes (Agencia Española de Protección de Datos) en un plazo de 72 horas.
Así las cosas, y aunque no se determina en la norma cuales son las actuaciones concretas que deben tener implementadas los encargados y responsables de los datos, imponiendo el concepto genérico de responsabilidad activa o proactiva, la cuestión es que, para poder tomar medidas en el supuesto de que se de una Brecha o incidente de seguridad, el responsable del tratamiento debe estar preparado para esta posibilidad, y tener establecido qué acciones se deben efectuar en el caso de que se pueda producir una brecha.
¿Cómo estar preparado?
Los mecanismos son dos, el registro de actividades y la evaluación de impacto, que si bien el reglamento sólo establece su obligatoriedad cuando hay una probabilidad de que entrañe un alto riesgo, la recomendación es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber, y el disponer de mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.
¿Qué hacer si se produce la brecha?
El responsable de tratamiento deberá iniciar su plan de actuación que permita resolver la brecha, minimizar sus consecuencias y registrar las acciones y sucesos localizados y actuados, que evite que suceda en el futuro así como comunicar cuándo se ha detectado y resuelto la brecha de seguridad.
Por tanto, tan importante como solucionar la brecha y minimizar los riesgos sobre los afectados, es aprender de ella, recogiendo dónde ha radicado el fallo en los procesos de gestión de la información. Por ello, forma parte del principio de responsabilidad proactiva documentar en detalle la brecha y las acciones tomadas para gestionarla y prevenirla en el futuro.