El Reglamento General de Protección de Datos (RGPD) define las brechas de datos personales como todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

No solo se está refiriendo a ciberataques o a ciberdelincuentes accediendo a los datos privados de usuarios tratados por una empresa. También contempla la pérdida o el robo de dispositivos que almacenen información (ordenadores, móviles, discos duros, etc.), incluso deshacerse de estos (por ejemplo, por renovación del parque informático) de forma descuidada sin pensar en el contenido almacenado.

Pasos a seguir por parte de la empresa en caso de brecha de seguridad

  • Clasificar el incidente identificando:
    • El tipo de brecha:
      • De confidencialidad (acceso ilegítimo).
      • De integridad (modificación no autorizada).
      • De disponibilidad (borrado o pérdida).
    • El método o circunstancias por el que ha tenido lugar (programa malicioso, phishing, pérdida o robo de documentos y dispositivos, email enviado a destinatarios no seguros, hacer pública información privada, etc.).
    • Si su origen es interno o externo, y si es intencionado o accidental.
    • El volumen (número de registros), el tipo de datos personales (DNI, contraseñas, económicos, infracciones, afiliaciones, biométricos, etc.) y usuarios afectados (clientes, estudiantes, pacientes, etc.).
    • Las posibles consecuencias (difusión en Internet, imposibilidad de prestación de servicio, usurpación de identidad, daños de reputación, etc.).
    • Medidas técnicas y organizativas que ha tomado la empresa desde que se descubrió la brecha.
    • Si es necesario notificar a autoridades de control extranjeras por estar comprometidos ciudadanos de otros países.
  • Una vez recopilada toda la información, el responsable del tratamiento de datos (persona que garantiza el cumplimiento del RGPD dentro de la empresa) debe comunicarlo a la autoridad de control competente, en España, la Agencia Española de Protección de Datos (AEPD). La notificación de la brecha de seguridad a la AEPD se debe hacer en un plazo no superior a 72 horas a menos que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas. La comunicación a la AEPD se puede realizar online con certificado digital.
  • Si la violación de los datos puede suponer un perjuicio grave para los usuarios afectados, también deben ser avisados por la empresa (en el mismo plazo de tiempo indicado en el punto anterior) para que puedan tomar las medidas pertinentes.

Para abordar el asunto con una mayor profundidad puedes consultar esta útil Guía para la gestión y notificación de brechas de seguridad de la AEPD.