Ayer saltaba la noticia, ‘Hackean’ la web de la escuela de negocios IESE y acceden a miles de datos personales. Al instante me vino a la mente un asunto parecido que me afecta directamente y fue el siguiente:
El @PSOEMeco va a redactar unas preguntas y a presentarlas por registro para q nos aclaren el alcance del problema, y si en aplicación del RGPD (nuevo reglamento europeo de protección de datos) han informado del suceso (es obligatorio), el Ayto va a tener que afrontar un multa
— PSOE Meco (@PSOEMeco) 12 de septiembre de 2018
El caso del IESE saltó a las redes dado que lo informa La Nueve y el IESE, cuando menos, informó sobre el asunto vía Twitter (desconozco si por otros medios) a los posibles afectados.
La web de venta de material IESE Publishing ha sido víctima de un hackeo y se ha producido un acceso a datos de clientes. Estamos analizando el alcance del ataque y hemos cerrado el acceso a la tienda online. En breve, informaremos.
— IESE – en español (@iese_esp) 17 de septiembre de 2018
Son dos formas de comunicar a los interesados una brecha de seguridad que puede haber afectado a sus datos personales -los datos no son del ayuntamiento de Meco ni del IESE, son de cada uno de nosotros-, juzguen ustedes cual es la más adecuada.
Ahora hay que ponerse en la piel del responsable de tener aseado el tema de datos personales en cualquiera de las dos entidades -sudor frío, soledad y la sensación de que te han robado la cartera- que debe, en primer lugar, constatar que tiene una brecha y que la han aprovechado y luego, informar a la Agencia Española de Protección de Datos (AEPD).
El responsable del tratamiento debe informar a la AEPD, a más tardar en 72 horas
De acuerdo con el RGPD, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.
La AEPD editó la «Guía para la gestión y notificación de brechas de seguridad»
Afortunadamente la AEPD editó una Guía (PDF) que nos ofrece recomendaciones preventivas y un plan de actuación con la intención de que se eviten las brechas de seguridad (en la medida de lo posible) y cómo proceder en caso de que se produzcan.
La Guía está estructurada en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.
la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas
Ya solo queda descargar la Guía y hacer buen uso de ella. No tiene desperdicio, un gran trabajo de la AEPD como todos los que está haciendo para que nos adecuemos al RGPD.
[…] ¿Cómo notificar una brecha de seguridad a la AEPD y afectados? […]
Crisis de ciberseguridad en la EAE Business School. La escuela de negocios española, cuyos másteres oscilan entre los 12.750 y los 27.500 euros y ha sido elegida segunda escuela de negocios más reputada de España por el Ranking Merco 2018, ha estado exhibiendo durante al menos tres meses diversos datos personales de sus alumnos, entre los que se encontraban, según ha podido confirmar Teknautas, el nombre completo, la contraseña de acceso a la web, el DNI, la dirección o la cuenta bancaria, entre muchos otros.
https://www.elconfidencial.com/tecnologia/2018-10-23/eae-business-school-datos-personales-alumnos-ciberseguridad_1634261/
Gracias por ponerme sobre la pista luisja. Son los primeros casos «sonados» que están apareciendo pero sin duda habrá más. Que aparezcan en distintos medios es adecuado para que el resto de entidades «se lo hagan mirar». Un saludo y gracias por comentar, es algo que se da poco.