Teletrabajo y RGPD. La importancia de notificar las brechas de seguridad
Teletrabajo y RGPD. La importancia de notificar las brechas de seguridad
Desde hace varias semanas vemos cómo las empresas, Innovaris entre ellas, se han adaptado al teletrabajo. En su inmensa mayoría, de manera satisfactoria dando servicios sin perder calidad, por lo que es más importante que nunca la seguridad de los datos personales y la importancia de notificar las brechas de seguridad y demás incidencias ante la Agencia Española de Protección de Datos (AEPD).
El Reglamento Europeo de Protección de datos en sus artículos 33 y 34 define las violaciones de seguridad de los datos, más comúnmente conocidas como “brechas de seguridad”, de una forma muy amplia, abarcando todo percance que origine la destrucción, pérdida, modificación accidental o ilícita de datos personales o el acceso no autorizados a dichos datos.
Incidentes como la pérdida o sustracción de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal que no esté autorizado) o el borrado accidental de algunos registros son consideradas violaciones de seguridad.
Notificar las brechas de seguridad
Cuando se produzca una brecha de seguridad de los datos, el responsable ha de notificarla a la autoridad de Protección de Datos competente, a menos que sea difícil que la brecha de seguridad produzca un riesgo para los derechos y libertades de los afectados. Los responsables deben documentar todas las violaciones de seguridad, aunque no lo notifiquen a la Agencia.
En los casos en que sea probable que la brecha de seguridad suponga un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos con el objetivo de permitir a los afectados que puedan tomar medidas para protegerse de sus consecuencias.
La notificación de la brecha de seguridad a la AEPD debe producirse cuanto antes, y a ser posible dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
El procedimiento para notificar una brecha de seguridad es:
- Valorar el riesgo
- Evaluar si hay daños materiales o inmateriales
- Calcular el alcance de la brecha
- Ver si es un incidente real
- Rellenar el formulario de la Agencia
Medidas de seguridad
El Responsable de tratamiento tiene la obligación de establecer medidas de seguridad en la organización, también cuando sus trabajadores realicen su actividad de manera telemática, mediante un documento denominado “Medidas de Seguridad” que contiene medidas tanto organizativas como técnicas.
En las medidas organizativas identificamos:
- El deber de confidencialidad y secreto de los datos de carácter personal: Evitar el acceso a personas no autorizadas a los datos personales, la custodia de los documentos tanto en papel como en soporte digital, la eliminación de registros en papel, la no divulgación de datos personales y el deber de secreto y confidencialidad.
- Y la metodología a seguir en la notificación de las violaciones de seguridad: Como se tiene que notificar las brechas de seguridad y el tiempo máximo para notificar a la Agencia.
En las medidas técnicas observamos las siguientes de manera general:
- La actualización de ordenadores y dispositivos asociados.
- La instalación de un cortafuego.
- La recomendación del uso de cifrado de datos, tanto para discos duros como para dispositivos de almacenamiento extraíbles (pen drives, discos duros externo).
- La realización periódica de copias de seguridad.
- La actualización de contraseñas de al menos 8 caracteres y renovación de las mismas cada 6 u 8 meses.
- Disponer de diferentes perfiles de accesos con distintos derechos.
Este es un documento que se deberá enviar a todo el personal de la organización y a los encargados de tratamiento, ya que son las medidas de seguridad mínimas que impone el Responsable para el correcto tratamiento de datos y que en estos días se hace indispensable conocer.
Más información: AEPD
#InnovarisFunciona
Licenciada en Derecho y Técnico Superior en informática y Telecomunicaciones. Especialista de datos por acreditada por AENOR. Consultora y Auditora de las normas UNE-EN ISO 9001 ,14001, 37001 y 27001. Consultora del Esquema Nacional de Seguridad – ENS