1.- Breve explicación
De acuerdo a la propia Agencia Española de Protección de datos (en adelante AEPD), una brecha de seguridad es “un incidente de seguridad que afecta a datos de carácter personal”, independientemente de si es la consecuencia de un accidente o de una acción intencionada y tanto si afecta a datos digitales o en formato papel. Además, estas brechas de seguridad provocan la “destrucción, pérdida, alteración, comunicación o acceso no autorizada de datos personales”.
De igual forma, los Considerados del Reglamento General de Protección de Datos (en lo sucesivo RDGPD) también nos ofrecen una definición de brecha de seguridad, entendida esta como “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.
Dicho esto, el RGPD establece en sus artículos 33 y 34 la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de notificar a la Autoridad de Control competente las brechas de seguridad que puedan ocasionar daños y perjuicios sobre las personas y, si esos daños son graves, comunicar la brecha a las personas cuyos datos se hayan visto afectados para que puedan tomar sus propias medidas. El plazo para notificar a la Autoridad de Control es de 72 horas desde que la organización es conocedora de la brecha.
2.- Legislación aplicable
La normativa que regula la gestión de las brechas de seguridad informática está recogida en diferentes leyes y reglamentos, tanto nacionales como europeos. En concreto, las normativas aplicables serían:
- RGPD: artículos 33 y 34 establecen la obligación de informar tanto a interesados como a autoridades competentes cuando se haya producido una brecha de seguridad que ponga en riesgo datos de carácter personal.
- Ley Orgánica de Protección de Datos y de Garantías de Derechos Digitales: aunque no recoge explícitamente la obligación de notificar las brechas de seguridad a la AEPD, sí que establece el incumplimiento de dicha obligación como una infracción muy grave en su artículo 72.
- Ley General de Telecomunicaciones que establece en su artículo 41 la obligación de informar sobre las brechas de seguridad que puedan comprometer datos personales a los operadores de servicios de comunicaciones electrónicas disponibles al público.
3.- Modelo – Comunicación brecha de seguridad a afectados
A la atención de _______________, (completar con el nombre del interesado)
Le informamos que en fecha _______________ (completar con la fecha de detección de la brecha) se detectó una brecha de seguridad consistente en _______________ (indicar el tipo de brecha).
La brecha de seguridad se produjo por _______________ (indicar el medio de producción de la brecha de seguridad. Por ejemplo: malware, phishing, datos personales enviados por error, etc.) y consistió en _______________ (explicar la brecha de seguridad).
Dicho incidente afectó a _______________ (indicar el tipo de datos afectados. Por ejemplo: datos de salud, datos biométricos, datos económicos, etc.) y se ha detectado que ello le podría afectar debido a que puede suponer pérdida de control sobre sus datos personales, limitación de sus derechos, discriminación, usurpación de identidad, fraude, pérdidas financieras, reidentificación no autorizada, pérdida de confidencialidad de datos afectados por secreto profesional, daños a la reputación, etc. Asimismo, hemos determinado que la gravedad de las consecuencias expuestas es _______________ (completar con muy alta/alta/media/baja según corresponda).
Nos tomamos su privacidad muy en serio y por ello hemos tomado todas las medidas que se encuentran a nuestro alcance para solucionar el incidente y minimizar los posibles daños que eventualmente le pueda causar. Por ello hemos procedido a _______________ (indicar las medidas tomadas).
De igual manera, en aras de cumplir con el principio de transparencia hemos comunicado la brecha de seguridad a la Agencia Española de Protección de Datos en fecha ___________ (completar con la fecha de comunicación a la AEPD) y hemos redactado un informe a nivel interno donde se detalla el proceso de gestión de la brecha de seguridad.
Si desea acceder al informe u obtener más información acerca de la gestión del incidente puede contactar con nosotros mediante el correo _______________ (incluir dirección de email).
Saludos cordiales.
Pingback: Cundo debe comunicar una empresa a los afectados una brecha de seguridad - NOTICIAME