AEPD presenta guía para gestionar brechas seguridad en tratamiento de datos

El documento está estructurado en cinco bloques, que incluyen la detección e identificación de este tipo de grietas, el plan de actuación ante una de ellas, el análisis de incidentes, el proceso de respuesta y la notificación de la misma a la autoridad de control.

De esta manera, facilita una “gestión integral” del problema de acuerdo con la AEPD, cuya directora, Mar España Martín, ha recordado que el hecho de sufrir una brecha de este tipo “no tiene por qué conllevar una sanción”, si la empresa afectada ha procedido según indica el Reglamento y se refleja en la guía.

De hecho, y según ha precisado el coordinador de la unidad de evaluación y estudios tecnológicos de esta entidad, Andrés Calvo, entre las 37 notificaciones recibidas por la Agencia desde el pasado 25 de mayo no sólo “no se encontró ninguna situación crítica”, sino que muchos de estos boquetes de seguridad no afectaban a los derechos y libertades de los usuarios.

Importancia de la ‘accountability’

Calvo ha insistido en la importancia de la ‘accountability’ durante el proceso de notificación: un concepto que hace referencia a la responsabilidad sobre el registro de pruebas al reconocer un agujero de seguridad y las acciones tomadas para arreglarlo.

Desde la aprobación del Reglamento, los responsables del tratamiento de datos personales tienen la obligación de notificar a la AEPD las brechas de seguridad que puedan destruir, perder o alterar de manera accidental o ilícita los datos personales, así como aquéllas que incurran en el acceso no autorizado a datos personales.

Notificación en 72 horas

El plazo de notificación es de 72 horas desde que se detecta la presencia del problema, “tiempo suficiente para, primero, poner en marcha la solución adecuada y, segundo, notificarlo a las autoridades” según Carlos Saiz Peña, director del Data Privacy Institute.

Si además existe un alto riesgo para los derechos y libertades de las personas, como por ejemplo el acceso ilícito a usuarios y contraseñas de un servicio, el responsable de la actuación debe comunicar lo ocurrido a los afectados con un lenguaje “claro y sencillo y de forma concisa y transparente”.

Simplificar la comunicación

Con el objetivo de simplificar la gestión de incidencias y notificaciones, el Centro Criptológico Nacional (CCN) ha desarrollado una herramienta denominada LUCIA que proporciona un lenguaje común para trasladar los incidentes a la autoridad competente, según ha explicado su director, Luis González.

El modelo de actuación presentado hoy está considerado, además, por los expertos de la AEPD como “de retorno”, ya que es capaz de aplicar las “lecciones aprendidas” en sucesivos incidentes en los sistemas de riesgo de las empresas y organizaciones, para así “mejorar constantemente” la gestión y prevención de brechas.

La entrada AEPD presenta guía para gestionar brechas seguridad en tratamiento de datos aparece primero en EFE futuro.


Origén: http://www.efefuturo.com/category/internet/