Las brechas de seguridad son los eventos que más preocupan a las organizaciones teniendo en cuenta su condición de responsables o encargadas de tratamiento y las multas o sanciones económicas previstas en el RGPD. Si bien es imposible eliminar el riesgo, la autoridad administrativa verificará la existencia de medidas que reduzcan dicha amenaza.
Al respecto, el considerando 85 del RGPD establece lo siguiente: ”Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión’‘. Por lo tanto, la normativa reconoce y cita específicamente las posibles consecuencias de una gestión inadecuada de datos personales, aunque no se trate de una lista cerrada y tampoco la vía idónea para su actuación.
En este punto, resulta esencial familiarizarnos con las brechas de seguridad y los mecanismos de protección establecidos para prevenir y/o mitigar sus efectos. Como establece el artículo 4, apartado 12, del RGPD, la ”violación de la seguridad de los datos personales” es toda violación de la seguridad que ocasione la ”destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En este apartado, la protección de datos debe valerse de todos los recursos que le permitan conservar la seguridad de la información en las unidades de negocio.
Por consiguiente, en los procedimientos administrativos a cargo de la Agencia Española de Protección de Datos (en adelante AEPD) vinculados con brechas de seguridad se calificará si la conducta previa del responsable de tratamiento ha sido adecuada, idónea y proteccionista con los de datos personales de los intervinientes. El RGPD aporta dos criterios importantes para tener en cuenta, por un lado, implementar medidas de seguridad técnicas y, de otro, asumir obligaciones de responsabilidad proactiva atendiendo la naturaleza de cada negocio. En primer lugar, frente a una vulneración de este tipo tendremos que analizar el artículo 34 del RGPD a fin de evaluar si el responsable se encuentra obligado a comunicar las brechas de datos personales a los afectados, por implicar un alto riesgo para sus derechos y libertades.
En definitiva, los artículos 33 y 34 del RGPD exponen la obligatoriedad de desarrollar políticas de seguridad y gestión de la información dentro los negocios que, además de prevenir, permitan gestionar incidentes de la mejor forma posible. Es decir, si las brechas de seguridad son circunstancias inevitables, resulta imperioso establecer protocolos o medidas que nos permitan reducir su impacto. Los artículos mencionados de forma implícita nos trasladan un requerimiento organizacional: un planeamiento de seguridad.
Plan de contención
Estamos seguros de que los datos personales como parte de la información de cada negocio son un activo y vivimos en una era en la que la seguridad se asienta como un activo altamente valorable también. En definitiva, si las brechas de seguridad son circunstancias impredecibles, cada organización sí se encuentra en la obligación de establecer un plan de contención que les permita reducir una posible afectación. Y este plan integrará medidas técnicas tanto como organizacionales, entre las que pueden citarse las siguientes:
- Establecimiento de protocolos de actuación frente a una brecha de seguridad o ciberataque.
- Nombramiento de una persona que ostente la jefatura o coordinación de seguridad de la información.
- Asesoramiento especializado en protección de datos.
- Formación y concienciación de las personas trabajadoras.
- Realización de copias de seguridad periódicas.