Cumplir con la LOPD seguridad es de obligación con la entrada del nuevo Reglamento General de Protección de Datos. Por ello, cualquier situación en una empresa que pueda haber derivado en la pérdida de datos personales, debe ser comunicada debidamente.
Las empresas viven constantemente expuestas a la posibilidad de que un virus entre en su sistema de redes o un ordenador individual.
Generalmente, esta situación no supone problemas mayores y se soluciona de forma rápida. Pero hay casos en los que el ataque puede ocasionar la pérdida de datos personales. La LOPD seguridad obligaba a las compañías a notificar la situación mediante el Registro de Incidencias.
Con eso era suficiente, pero la entrada en vigor del nuevo RGPD ha cambiado el escenario por completo.
Definir qué es una brecha de seguridad no es tan sencillo como pueda parecer. De hecho, en la propia LOPD no existe una definición exacta del término. Así que lo más habitual es utilizar la que propone el RGPD:
Toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Por lo tanto, una violación de seguridad es cualquier incidente que da como resultado el acceso no autorizado a datos, aplicaciones, servicios, redes y dispositivos. Ocurre cuando un individuo o una aplicación ingresa ilegítimamente en un perímetro lógico de TI privado, confidencial o no autorizado.
Una violación de seguridad puede ser una de las primeras etapas de un ataque por parte de un intruso malintencionado, como un hacker, un cracker o una aplicación nefasta. Dependiendo de la naturaleza del incidente, esta brecha puede ser desde bajo riesgo hasta altamente crítica. En una organización, deben ser monitoreadas, identificadas y mitigadas por un firewall de software o hardware.
El primer paso al que obliga la LOPD seguridad ante una brecha es a apuntar en el registro interno la incidencia detectada. En el mismo debe incluirse toda la información relativa sobre el lugar, día y hora de detección de la violación, así como también los sistemas, datos y equipos que se han visto afectados.
Posteriormente, se debe analizar la situación para determinar el grado de gravedad de la brecha. Si se confirma que supone un riesgo para las personas físicas, entonces hay que proceder a su notificación a la autoridad pertinente. En el caso de nuestro país, es la Agencia Española de Protección de Datos.
En las empresas que cuentan con un Delegado de Protección de Datos, este debe ser el encargado de realizar la notificación. En su defecto, la misma correría a cargo del Responsable de Seguridad o, de contar con esa figura, el representante del Responsable del Tratamiento. El plazo máximo para la presentación de la información es de 72 horas tras tener constancia del problema.
La notificación ha de incluir un contenido mínimo para cumplir la LOPD seguridad. Debe contener la naturaleza de la violación, categorías de datos y de interesados afectados, las medidas impuestas por el responsable para resolver esa quiebra y, si procede, las acciones adoptadas para reducir los posibles efectos negativos sobre los interesados.
Existen unas medidas mínimas que las empresas deben cumplir para respetar la LOPD seguridad. Estas se clasifican en organizativas y técnicas y están recogidas por la Agencia Española de Protección de Datos.
Se debe informar a todo el personal con acceso a datos personales acerca de sus obligaciones. Estas se centran en 3 puntos clave: el deber de confidencialidad y respeto, los derechos de los titulares de los datos y las violaciones de seguridad de datos de carácter personal.
El deber de confidencialidad y secreto implica que se debe evitar el acceso de personas no autorizadas a los datos personales. Igualmente, los documentos en papel y soportes electrónicos se almacenarán en lugar seguro y no se desecharán sin garantizar su destrucción. Tampoco se pueden comunicar datos o información personal a terceros. Estos deberes persisten incluso cuando finaliza la relación laboral del trabajador con la empresa.
Los derechos de los titulares de los datos implican que se informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.).
En cuanto a las violaciones de seguridad de datos de carácter personal, ya se ha visto que deben ser notificadas a la Agencia Española de Protección de Datos en término de 72 horas.
Las medidas técnicas hacen referencia a la identificación de usuarios y el deber de salvaguarda.
La identificación de usuarios obliga a disponer de varios usuarios cuando un ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal. También recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y otros sin privilegios. En cuanto a las contraseñas, tendrán al menos 8 caracteres, mezcla de números y letras y se debe garantizar su confidencialidad.
Las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales son:
Estas medidas de seguridad deben ser revisadas de forma periódica, ya sea automáticamente (software o programas informáticos) o de forma manual.
El RGPD ha cambiado sustancialmente las medidas a seguir para cumplir la LOPD seguridad. Las empresas deben contar con protocolos para hacer frente a posibles ataques y están obligadas a notificarlos. De lo contrario, se exponen a sanciones de 10 millones de euros o una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior (siempre se optará por el de mayor cuantía).
¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?
¿Eres una empresa y no encuentras lo que estás buscando?
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.
El Responsable del tratamiento de tus datos es la Cámara Oficial de Comercio, Industria y Servicios de Madrid (Q2873001H), que tratará los datos con la finalidad de gestionar tu suscripción y mantenerte informado de productos y servicios de esta Corporación. La legitimación para el tratamiento es el propio consentimiento del usuario y interés legítimo de la Cámara. No se cederán los datos personales a terceros, salvo obligación legal o indicación expresa. Puede ejercer los derechos de acceso, rectificación, cancelación y oposición, así como el ejercicio de otros derechos, remitiendo un correo electrónico a dpd@camaramadrid.com. Puedes consultar información adicional y detallada sobre la política de privacidad.