Cómo evitar una sanción por una brecha de seguridad

Vivimos en un mundo hiperconectado en el que el intercambio de datos se ha convertido en algo habitual. Por esta razón todas las empresas, con independencia de su sector de actividad y tamaño, deben establecer las medidas que sean oportunas para evitar las brechas de seguridad.

La información se ha convertido en el activo más valioso para las empresas. Organizaciones de todo el mundo disponen de millones de datos de sus clientes, proveedores, empleados… Datos que deben gestionar, tratar y almacenar de forma adecuada para no perder su reputación y para evitar una sanción.

Cabe destacar que todo tratamiento de datos supone cierto nivel de riesgo. En los últimos años se han disparado el número de ciberataques, dirigidos tanto a grandes empresas multinacionales como a pequeños negocios. Pensar que a ti nunca te va a ocurrir es un gran error porque no hay ninguna medida 100% infalible.

[media:601]

Vamos a comenzar por definir qué es una brecha de seguridad. El Reglamento General de Protección de Datos indica que es cualquier tipo de violación que provoque la pérdida, destrucción o alteración ilícita o accidental de datos personales transmitidos, tratados o conservados, así como el acceso o la comunicación no autorizados a dichos datos.

¿Qué hacer si se produce una brecha de seguridad?

Cualquier compañía actual, por pequeña que sea, debe contar con un protocolo de actuación previamente establecido. Por lo tanto, hay que diseñar un procedimiento para detectar cualquier tipo de incidencia. Cada organización puede disponer de los sistemas que mejor se adapten a sus características: alertas, revisiones periódicas del sistema informático, programas especializados…

Es obligatorio alertar y registrar cualquier brecha de seguridad. La normativa establece la necesidad de llevar un registro de incidencias que detalle toda la información sobre el suceso: tipo de amenaza, contexto, datos que se han visto afectados, y consecuencias.

Es importante dar respuesta al incidente a la mayor brevedad posible, de ahí la importancia de tener siempre un protocolo de actuación preparado de antemano. Los expertos en ciberseguridad indican que las consecuencias de este tipo de sucesos dependen en gran medida de la respuesta dada por la compañía afectada. Hay que evitar que el mal se agrave y tratar de garantizar la continuidad de la actividad minimizando el riesgo para los derechos de las partes interesadas.

Además, siempre que la brecha de seguridad haya puesto en riesgo los datos de terceros, la compañía debe informar a la autoridad de control competente, la Agencia Española de Protección de Datos. El plazo máximo en el que debe hacerlo es de 72 horas.

¿Hay que cumplir con la Ley de Protección de Datos?

Por supuesto que sí. La protección de datos de carácter personal es un derecho, de manera que está protegido por ley. Una brecha de seguridad de este tipo de datos puede suponer graves daños y perjuicios a nivel material, inmaterial o físico, como la pérdida de control de sus datos, la usurpación de identidad, la pérdida financiera, el daño a la reputación o la pérdida de confidencialidad.

La Agencia Española de Protección de Datos insiste en que notificar una brecha de seguridad no implica necesariamente que vaya a iniciarse un procedimiento sancionador para la organización. En este caso es importante determinar qué nivel de responsabilidad tiene la misma, y si había tomado las medidas preventivas oportunas para evitar el incidente.

Por último, cabe destacar que en muchos casos las consecuencias a nivel reputacional para la compañía son más graves que cualquier sanción económica.

En Anexia Consultoría estamos especializados en auditorías y te ayudamos a adaptarte al Reglamento General de Protección de Datos.