Responsive menu mobile icon

Protección de datos. Brechas de seguridad

¿Qué es una brecha o quiebra de seguridad, recogida en el RGPD como violación de la seguridad de los datos personales? 

El Reglamento General de Protección de Datos (RGPD) define las violaciones de seguridad de los datos, más comúnmente conocidas como "quiebras o brechas de seguridad", de una forma muy amplia, e incluye “todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".

En este sentido, los daños producidos por una quiebra de seguridad pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia del uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la usurpación de su identidad, pasando por la generación de perjuicios económicos o la exposición pública de datos confidenciales.

El SAS incorporar el proceso de gestión de brechas a los procesos de negocio ya existentes, siendo una parte necesaria para mantener la normal actividad y constituyendo una de las medidas organizativas más importantes a la hora de salvaguardar la seguridad de los tratamientos y en consecuencia, los derechos y libertades de los interesados.

[Basado en: AEPD. Sede Electrónica. Preguntas Frecuentes]

¿Están tipificados ejemplos concretos de brechas que puedan ser notificadas por un usuario? 

Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de la organización (incluso por personal propio) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD.

Otros ejemplos a tener en cuenta pueden ser la presencia en el ordenador de archivos con caracteres inusuales, la recepción de correos electrónicos con archivos adjuntos sospechosos, el comportamiento extraño de dispositivos, la imposibilidad de acceder a ciertos servicios, el extravío/robo de dispositivos de almacenamiento (pen-drive usb, discos portátiles…), etc.

[Basado en: AEPD. Guía para la gestión y notificación de brechas de seguridad]

¿Cuál es la diferencia entre una incidencia de seguridad TIC y una brecha de seguridad en la protección de datos personales? 

La obligación de notificar las brechas de seguridad es una parte de un todo que se integra dentro de lo que hasta ahora sería el registro y procedimientos de gestión de incidencias que a su vez forman parte de otra disciplina como es la gestión de la seguridad de la información.

El concepto de brecha de seguridad de los datos personales ya ha sido explicado en una pregunta anterior, procede por tanto hacer lo propio con el concepto de incidencia de seguridad. A este respecto, el Esquema Nacional de Seguridad (ENS) lo define como aquel “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”. En la misma línea, la Directiva NIS define “incidente” como “todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información”.

Tal como indicaba el Grupo de Trabajo del Artículo 29 (WP29), la “violación” a la que se refiere el RGPD, aun siendo un tipo de incidente de seguridad, solo se aplica en la medida en que afecte a datos de carácter personal, y en consecuencia dicho incidente pueda comprometer al Responsable del Tratamiento en el cumplimiento de los principios del RPGD.

¿Existen otras vías de detección de brechas?

Para detectar una brecha primero hay que detectar un incidente de seguridad. Por tanto, el proceso de detección de incidentes de seguridad debe funcionar de manera continua dentro de la operativa habitual de la organización en la que se establecen mecanismos de detección de eventos que permitan identificar un incidente de seguridad y su posterior clasificación como brecha de seguridad.

La detección puede producirse a través de fuentes internas o externas a la organización. Entre las primeras, además de la notificación manual por parte de los usuarios, se pueden producir notificaciones automáticas por parte de determinados controles (software antivirus, cámaras de vigilancia, controles de acceso, sensores, sistemas de detección de intrusos, anomalías de tráfico de red, escáner de vulnerabilidades…). Entre las segundas, las externas, pueden provenir de proveedores de servicios, fabricantes de soluciones de seguridad, otros organismos públicos (CCN-Cert, Andalucía-Cert…), medios de comunicación o por un usuario del sistema sanitario.

[Basado en: AEPD. Guía para la gestión y notificación de brechas de seguridad]

¿Qué información debe contener la notificación de una brecha al SAS?

Cuanto más detallada sea la información comunicada, más fácil será su análisis y tipificación y menos contactos posteriores serán necesarios con el usuario notificador. No olvidemos que el tiempo corre en nuestra contra cuando lo que está en riesgo son los derechos y libertades de las personas.

Aspectos como la fecha del incidente, la fecha de su detección, los tipos de datos personales afectados, el volumen de datos en términos de número de registros, la visibilidad (internet, intranet, aplición local…), los servicios afectados, las medidas de seguridad aplicadas antes del incidente (p.e. datos cifrados), las medidas aplicadas tras su detección, profesionales u organismos informados, etc.

Todos estos datos no son más que un subconjunto de los que el SAS debe recopilar para su análisis y evaluación de riesgos de cara a cumplimentar la comunicación a la autoridad de control en materia de protección de datos en Andalucía.
 

¿Cómo se notifica una brecha al Responsable del Tratamiento del SAS o su DPD?

El SAS tiene a disposición de sus profesionales un formulario software para la notificación de brechas de protección de datos, integrado en su herramienta corporativa de soporte técnico (MiCS).

De cara a la ciudadanía, usuarios del sistema sanitario público de Andalucía o cualquier tercero, el primer contacto puede establecerse a través del buzón de correo electrónico del Delegado de Protección de Datos: dpd.sspa@juntadeandalucia.es

¿En qué casos debe informarse de la brecha a la Autoridad de Control? ¿y al interesado/afectado?

Hay que tener en cuenta que en el ámbito del RGPD la notificación a la autoridad de control podría no realizarse cuando sea improbable que la brecha de seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

La gestión de una brecha de seguridad requiere determinar la peligrosidad potencial del incidente y la estimación de la magnitud del impacto potencial en los individuos. Para esta evaluación se deberá recurrir al análisis de riesgos o evaluación de impacto realizado antes de la puesta en marcha de las actividades de tratamiento y a la clasificación previa del incidente.

La política de comunicación de brechas de la organización pondera atributos como el volumen de registros afectados, la tipología de los datos y el impacto para obtener un valor de riesgo que permita determinar cuando es pertinente informar a la autoridad de control y cuando adicionalmente es también necesario informar a los afectados.

[Basado en: AEPD. Guía para la gestión y notificación de brechas de seguridad]

Fecha de actualización
16/10/2020