Soporte remoto
Zona clientes

Brechas de seguridad

brecha de seguridad
De vez en cuando vemos o leemos en las noticias que tal o cual “mega-empresa” se ha visto afectada por una brecha de seguridad y que se han vulnerado cientos, miles o millones de datos de usuarios o clientes. Y pensamos:
"claro, si es que con todos las sucursales y trabajadores que tienen y tantos clientes, pues normal que les pasen esas cosas. Eso en mi empresa (farmacia, clínica, …) no pasa, por que somos cuatro. ¿Quién va a querer atacarnos a nosotros?"
…pues nada más lejos de la realidad, nos puede pasar a cualquiera y, de hecho, es posible incluso que nos haya pasado y no lo hayamos detectado. Desde que entró en vigor el RGPD en 2018 y por tanto la obligatoriedad de comunicar a la Agencia Española de Protección de Datos las brechas de seguridad, se han realizado más de 5800 notificaciones a la AEPD. Por tanto, es fundamental saber qué es una brecha de seguridad y ser capaz de detectarlas e identificarlas. Es un incidente de seguridad (de origen accidental o intencionado) que afecta a datos de carácter personal (tanto los tratados informáticamente como en papel).Este incidente ocasiona destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. Algunos ejemplos de brechas de seguridad:
  • Ataque de hacker accediendo a nuestra red y a nuestra base de datos.
  • Ransomware o virus que encripta el disco duro y exige un pago en criptomoneda para (teóricamente) conseguir la clave que nos permita recuperar los datos.
  • Enviar email a contactos sin ponerlos en CCO (copia oculta) por lo que estaremos publicando datos personales a otras personas.
  • Compartir documentos con datos personales a contacto/s que no son los destinatarios de ese documento (a través de correo electrónico, redes sociales, mensajería instantánea, etc.)
  • Proporcionar las contraseñas personales a otros compañeros o miembros del equipo.
  • Robo o extravío de soportes que contienen datos (portátil, PC, Servidor, USB, carpeta con documentos en papel, etc.)
  • Trabajar y tratar datos de la empresa en dispositivos personales o en lugares externos al centro de trabajo, que no tienen las medidas de seguridad correctas.
  •  Olvidar contraseñas que no nos permitan acceder a bases de datos y no tener forma de recuperarlas.
  •  E incluso que se produzcan desastres como incendios, inundaciones, etc. que afecten a datos personales.
Seguro que en alguna ocasión nos ha ocurrido o ha estado a punto de ocurrir alguno de estos incidentes. Como vemos, la mayoría de ellos tienen un origen humano, es decir, con formación, concienciación, análisis de los riesgos que podemos tener en el día y a día y aplicando medidas de seguridad y fundamentalmente sentido común, los podríamos evitar o al menos aminorar el impacto. Si aún con todas esas precauciones y teniendo un Plan de Seguridad sufrimos una brecha de seguridad, se ha de poner en marcha inmediatamente ese Plan, recabando la información necesaria para decidir lo más ágilmente posible las medidas y acciones para minimizar las consecuencias y valorar la necesidad de notificar a la AEPD y/o a los afectados (titulares de los datos personales vulnerados).

¿Qué información debemos recopilar ante una brecha de seguridad detectada?

  • Medio por el que se ha materializado la brecha, es decir, qué ha ocurrido.
  • Origen de la brecha: si ha sido interna o externa y su intencionalidad.
  • Categorías de datos: si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como pueden ser datos de salud como la mayoría de los que se tratan en la farmacia.
  • Volumen de datos afectados, tanto en número de registros como en número de personas afectadas.
  • Categorías de afectados: clientes, empleados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
  • Información temporal de la brecha: cuando se inició, cuando se ha detectado y cuando se resolvió o resolverá la brecha de seguridad.
Debemos tener en cuenta que la notificación a la Agencia, cuando la brecha constituya un riesgo para los derechos y libertades de las personas, debe ser en un máximo de 72 horas desde que se detecta la brecha, por lo que una vez pasado el susto ya nos podemos dar prisa y recopilar todos los datos, y sobre todo comunicarlo inmediatamente a nuestro asesor de protección de datos (¡incluso antes de que se pase el susto!). Cuando en el plazo de 72 horas no dispongamos de toda la información sobre la brecha, se puede hacer una notificación gradual, que consiste en una notificación inicial dentro del plazo de 72 horas con los detalles que conozcamos y posteriormente una modificación de la notificación inicial para completar los detalles de la brecha de datos personales en el plazo de 30 días hábiles desde la notificación inicial. En caso de que la detecte un encargado de tratamiento, nos lo deberá comunicar con la suficiente antelación como para que podamos recopilar todos los datos antes de las 72 horas, por lo que incluso es recomendable fijar este plazo en el propio contrato de encargado de tratamiento. En cualquier caso, en cumplimiento de los principios de proactividad y transparencia que marca el RGPD siempre es recomendable notificar ante la AEPD las brechas de seguridad. En ocasiones, las empresas pueden ser reacias a notificar las brechas de seguridad porque tienen la sensación de que les puede afectar negativamente a su reputación, no obstante, sucede más bien al contrario. Un afectado por una brecha de seguridad puede ver dañada su reputación, limitar sus derechos, producir pérdidas financieras, discriminación, etc., y si no le informamos no podrá adoptar las medidas necesarias para protegerse, por lo que podría reclamarnos ese perjuicio y entonces si tendríamos una pérdida de reputación. Por el contrario, si informamos a los interesados, serán conscientes de la situación y nuestra imagen ser verá reforzada por nuestra política de transparencia y concienciación con los derechos y libertades de nuestros clientes, pacientes, empleados, colaboradores, etc. En definitiva, la obligación de comunicación a los interesados, tiene un efecto colateral muy positivo para las organizaciones, y es el servir de apoyo a aquellas políticas internas que fomentan la implantación de modelos de gestión de los datos efectivos y diligentes. La empresa no sólo estaría cumpliendo con sus obligaciones legales, sino que le permitiría mantener la relación de confianza que los interesados han depositado en ella. En conclusión, debemos tener un análisis de riegos donde se identifiquen y se detallen las medidas aplicadas para aminorarlos, disponer de herramientas que nos ayuden a detectar las brechas de seguridad y aplicar inmediatamente el Plan de Seguridad en caso de que ocurra. Es fundamental informar inmediatamente a nuestro asesor, quien determinará si se ha de notificar o no a la AEPD y a los afectados.

14 de septiembre de 2022

Verónica García Doylataguerra Consultora en Protección de Datos