Inicio Sociedad Meco ¿Cómo notificar una brecha de seguridad a la AEPD y afectados?

¿Cómo notificar una brecha de seguridad a la AEPD y afectados?

Cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad, debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes al suceso.

3

Ayer saltaba la noticia, Hackean’ la web de la escuela de negocios IESE y acceden a miles de datos personales. Al instante me vino a la mente un asunto parecido que me afecta directamente y fue el siguiente:

El caso del IESE saltó a las redes dado que lo informa La Nueve y el IESE, cuando menos, informó sobre el asunto vía Twitter (desconozco si por otros medios) a los posibles afectados.

Son dos formas de comunicar a los interesados una brecha de seguridad que puede haber afectado a sus datos personales -los datos no son del ayuntamiento de Meco ni del IESE, son de cada uno de nosotros-, juzguen ustedes cual es la más adecuada. 

Ahora hay que ponerse en la piel del responsable de tener aseado el tema de datos personales en cualquiera de las dos entidades -sudor frío, soledad y la sensación de que te han robado la cartera- que debe, en primer lugar, constatar que tiene una brecha y que la han aprovechado y luego, informar a la Agencia Española de Protección de Datos (AEPD).

El responsable del tratamiento debe informar a la AEPD, a más tardar en 72 horas

De acuerdo con el RGPD, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.

La AEPD editó la «Guía para la gestión y notificación de brechas de seguridad»

Afortunadamente la AEPD editó una Guía (PDF) que nos ofrece recomendaciones preventivas y un plan de actuación con la intención de que se eviten las brechas de seguridad (en la medida de lo posible) y cómo proceder en caso de que se produzcan.

La Guía está estructurada en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas

Ya solo queda descargar la Guía y hacer buen uso de ella. No tiene desperdicio, un gran trabajo de la AEPD como todos los que está haciendo para que nos adecuemos al RGPD.

Artículo anteriorLa Laguna de Meco en Twitter
Artículo siguienteTwitter vuelve al timeline cronológico
Desde hace más de 30 años ha estado ligado y promoviendo actividades relacionando la geología y geociencias con los recursos electrónicos, internet y las redes sociales y científicas. Jefe de administración del Ilustre Colegio Oficial de Geólogos (ICOG) desde el año 1990. En 1991-1996 Relaciones públicas y posteriormente responsable de marketing de la revista Tierra y Tecnología del ICOG. En 1993-1996 dirigió la publicación “El Geólogo” y en 1997 fundó “El Geólogo Electrónico”. Coordinador de las ediciones I a III del GEA-CD (recopilación y difusión de software para docentes y profesionales de las ciencias de la tierra y el medio ambiente en formato CD-ROM) entre los años 1996 a 1998. Colabora con la ONG Geólogos del Mundo creando su intranet y poniendo en marcha su página web institucional. Desde el año 2000 es responsable de calidad del ICOG (ISO 9001). Ha sido ponente en distintos eventos organizados por Unión Profesional y Unión Interprofesional de la Comunidad de Madrid, sobre la calidad aplicada al sector colegial. Asimismo, ha impartido charlas sobre búsqueda de empleo y redes sociales en el ICOG, Unión Profesional y Universidad Complutense. En 2005 implanta el visado electrónico de proyectos en el ICOG. En el ámbito de las webs y redes científicas, es Community manager del ICOG. Webmaster de la revista Tierra y Tecnología, de la página institucional del ICOG, de la Escuela de Geología Profesional, de la Red Española de Planetología y Astrobiología y de la International Association for Geoethics. Delegado de protección de datos del ICOG desde el año 2018. Experto en digitalización del sector de colegios profesionales ha sido ponente en el taller virtual sobre la "Transformación Digital del Sistema Colegial", organizado por Unión Profesional y Wolters Kluwer en 2020. Ha sido distinguido como Geólogo de Honor por la Asamblea General del ICOG el 15 de abril de 2023. En 2003 crea el “Blog de epampliega” un espacio personal que pasaría en 2008 a llamarse “Un Mundo Complejo” donde trata temas de: economía, redes sociales, innovación, sociedad, etc.

3 COMENTARIOS

  1. Crisis de ciberseguridad en la EAE Business School. La escuela de negocios española, cuyos másteres oscilan entre los 12.750 y los 27.500 euros y ha sido elegida segunda escuela de negocios más reputada de España por el Ranking Merco 2018, ha estado exhibiendo durante al menos tres meses diversos datos personales de sus alumnos, entre los que se encontraban, según ha podido confirmar Teknautas, el nombre completo, la contraseña de acceso a la web, el DNI, la dirección o la cuenta bancaria, entre muchos otros.

    https://www.elconfidencial.com/tecnologia/2018-10-23/eae-business-school-datos-personales-alumnos-ciberseguridad_1634261/

    • Gracias por ponerme sobre la pista luisja. Son los primeros casos «sonados» que están apareciendo pero sin duda habrá más. Que aparezcan en distintos medios es adecuado para que el resto de entidades «se lo hagan mirar». Un saludo y gracias por comentar, es algo que se da poco.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Salir de la versión móvil