Con la creciente cantidad de ciberataques de hoy en día, la probabilidad de sufrir una brecha de seguridad de datos es cada vez mayor. No solo para las grandes empresas, también para las pequeñas, dado que la información que manejan es tan importante como la de aquéllas.  

Frente a este tipo de incidentes es imprescindible prepararse para afrontarlo. Conocer los riesgos y establecer procedimientos estandarizados es fundamental para que las consecuencias de una brecha de datos no sean tan severas. Por eso, en este artículo te reseñamos cuáles son los pasos que debes tomar en estos casos, también qué medidas preventivas puedes adoptar. Veámoslas: 

Qué es una brecha de seguridad de datos 

Empecemos por definir qué es una brecha de seguridad de datos, porque es cierto que muchas veces está asociada a ciberataques, pero no necesariamente tiene que suceder tras ellos.  

Según el RGPD es “toda aquella violación de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.  

Esto quiere decir que más allá de la ciberdelincuencia, una brecha de datos también sucede por casualidad o negligencia, como cuando se da acceso a los usuarios a los datos de otros usuarios por un error de programación. O de forma física, por ejemplo, al extraviarse un archivador.  

Y, además, no se considera brecha de seguridad de datos si no se han afectado datos personales, si no existe un tratamiento o si su alcance solo ha sido doméstico.  

Tipos de las brechas de seguridad

Es necesario, también, conocer qué tipo de brechas de seguridad de datos existen, dado que esto ayudará a determinar la gravedad del riesgo que supone el incidente. Según la AEPD, las brechas pueden tipificarse teniendo en cuenta si afectan a una o más de estas tres dimensiones de los datos:  

  • Confidencialidad: Cuando una brecha de datos afecta la confidencialidad, terceros han podido acceder a los datos personales sin autorización.  
  • Disponibilidad: Sucede cuando las personas legitimadas para acceder a los datos no pueden acceder a ellos temporal o permanentemente. 
  • Integridad: Se considera que se afecta a la integridad cuando los datos han sido alterados sin autorización, pudiendo incidir en cómo se realiza el tratamiento y originando un probable daño a los usuarios. 

Qué medidas tomar ante una brecha de seguridad de datos 

Como hemos dicho anteriormente, una brecha de seguridad de datos no se aborda solo en el momento en que sucede, sino también con anterioridad, preparándose ante ella.  

Siguiendo la Guía para Notificación de Brechas de Seguridad de la AEPD, hemos establecido que existen 5 pasos a tomar ante una brecha de seguridad de datos: 

Evaluación

Este es un proceso que se realiza tanto antes como después de la materialización de la brecha y busca identificar el nivel de riesgo del incidente. Cuando se realiza previamente se hace una evaluación de impacto del tratamiento de datos y como consecuencia se establecen medidas y políticas de protección.  

Cuando es posterior, se considera la siguiente información para determinar el nivel de riesgo:  

  • El tipo de brecha  
  • Qué tipos de datos se tratan, si se consideran sensibles y su volumen. 
  • Cuán fácil resulta identificar a las personas reales detrás de los datos. 
  • Cuán grave podrían ser las consecuencias para los derechos y libertades de las personas. 
  • Las características particulares del responsable de tratamiento.  
  • Cuántas personas serán afectadas por la brecha.  
  • Otros. 

A partir de esta evaluación se decide las acciones a tomar.  Por ejemplo, si se trata de un hecho que afecta la privacidad de menores, el riesgo será mucho mayor y por tanto deberá tomarse medidas para protegerlos del riesgo.

Documentación

Luego y durante todo el proceso, es recomendable recolectar información sobre lo que ha sucedido. Esto será útil para el siguiente paso, que es registrar el incidente. Será necesario guardar documentos que justifiquen y prueben las decisiones tomadas, así como las medidas adoptadas.  

Además, si se trata de un ciberataque esta documentación será muy útil, por ejemplo, para reportar a la Policía para investigar a los autores del delito.  

Registrar el incidente

Este paso forma parte de una obligación de los responsables de datos, según el RGPD. En este registro debe incluirse información como la fecha, origen, características y condiciones del incidente, así como la documentación arriba mencionada. 

Notificación a autoridades

A partir de la evaluación del riesgo se decidirá si es necesario notificar a las autoridades. La notificación la debe hacer el responsable lo más pronto posible y en un plazo máximo de 72 horas en el formulario de la sede electrónica de la AEPD. 

Aunque es cierto que la AEPD prevé la posibilidad de notificar de manera parcial cuando no se cuenta con toda la información necesaria y completar el proceso hasta 30 días después de la primera notificación.  

La información que se notificará debe incluir:  

  • Las características del tratamiento 
  • El nombre del responsable 
  • Qué intencionalidad podría tener la brecha y su origen. 
  • Qué tipo de brecha es. 
  • Qué datos han sido afectados y las características de las personas detrás de ellos. 
  • Un resumen de la brecha. 
  • Si la brecha tiene alcance transfronterizo y cuáles podrían ser sus efectos. 
  • La cronología del incidente. 
  • Cómo se detectó el incidente. 
  • Qué medidas de seguridad se establecieron previamente al suceso. 
  • Qué acciones se han tomado luego de la brecha. 
  • Si se ha comunicado a los afectado y cómo.  

Comunicación a usuarios

Cuando el nivel de riesgo para los usuarios es alto, entonces será necesario comunicarles la existencia de la brecha de seguridad de datos. Esto le permite a cada una de las personas afectadas tomar sus propias medidas de seguridad para protegerse ante la exposición de su información personal. 

Sin embargo, no será necesario hacerlo si:  

  • Antes de la brecha se han adoptado medidas de seguridad para prevenir la afectación a las personas.  
  • Si después de la brecha se han tomado acciones para mitigar los riesgos de la brecha.  

Aunque no existe un plazo determinado para hacerlo, esta comunicación deberá hacerla el responsable o el encargado a la brevedad posible. También puede ser que exista una orden de la AEPD para hacerlo,para hacerlo, en cuyo caso deberá cumplirse en un máximo de 30 días.  

En este caso, la comunicación deberá ser directa a cada uno de los afectados. Si bien cuando se considere que demandará un esfuerzo desproporcionado, se podrá hacer mediante medios masivos. Y la información mínima que deberá proveerse será la siguiente:  

  • Información de contacto del Delegado de Protección de Datos o, si no se cuenta con uno, de la empresa. 
  • Qué ha sucedido y cuándo. 
  • Cómo podría afectarles la brecha de datos personales.  
  • Características de los datos afectados.   
  • Qué medidas se han tomado para afrontar la brecha y prevenir riesgos. 

Hay que considerar que muchas empresas prefieren evitar la comunicación pública de las brechas de seguridad de datos para evitar daños a su reputación. Sin embargo, esto termina por ser contraproducente, porque al no hacerlo, la empresa denota falta de transparencia, terminando por afectar más su imagen.  

Y, de acuerdo con un informe de Karpersky, también terminaría por afectar financieramente más a las empresas que si se comunica a tiempo: el costo de la brecha es un 40% más alto.  

¿Cómo prevenirla? 

Aunque las probabilidades de sufrir una brecha son altas para cualquier compañía, sí se pueden prevenir o, por lo menos, disminuir sus efectos nocivos. Para eso, tanto la normativa, como las autoridades de protección de datos y los expertos tecnológicos proponen una serie de medidas que pueden ayudar en ese propósito. A continuación, te enumeramos algunas:  

  • Crear planes de contingencia ante la posibilidad de una brecha. 
  • Establecer sistemas de detección automática y temprana de incidentes de seguridad. 
  • Anonimizar o pseudonimizar los datos personales, mediante el cifrado de seguridad. 
  • Desarrollar procedimientos de desvinculación de los datos.  
  • Establecer procedimientos de acceso con doble factor de autenticación y contraseñas seguras. 
  • Instalar sistemas de respaldo o de copias de seguridad de la información. 
  • Mantener actualizado el software de tratamiento de datos. 
  • Realizar procesos de eliminación de datos en desuso. 

Para finalizar 

Una brecha de seguridad de datos mal gestionada puede traer serias consecuencias para la continuidad operativa de la empresa, pero también para sus finanzas y reputación. Por este motivo, es recomendable prepararse y actuar conforme a la normativa.  

En Talos Abogados no solo tenemos abogados expertos que pueden ayudarte a implementar medidas de seguridad para tu startup. También contamos con herramientas de autogestión y diagnóstico para que tú mismo puedas gestionar los riesgos. Contáctanos para saber más de nuestros servicios. 

 

Foto de Tetiana SHYSHKINA en Unsplash