Guía [práctica] para la Gestión de Brechas de Datos Personales

Guía [práctica] para la Gestión de Brechas de Datos PersonalesISMS Forum – International Information Security Community – Data Privacy Institute

Overview: Cuando en mayo de 2018 se hizo exigible el Reglamento General de Protección de Datos (en adelante, RGPD), una de las principales novedades a las que nos tuvimos que enfrentar como responsables y encargados de los tratamientos de datos personales en nuestras organizaciones fue la doble obligación de, en determinadas circunstancias, notificar las brechas de datos personales a las autoridades de control y comunicarlas a las personas físicas afectadas.
Desde hace muchos años se han venido produciendo iniciativas destinadas a establecer vías o espacios donde compartir información, no solo técnica sino también de gestión, entre los profesionales de la ciberseguridad. En un mundo hiperconectado, los incidentes no son algo privado que se pueda dejar en la esfera interna de quien los sufre, no hay islas de autogestión que no tengan influencia sobre los demás.
Aunque la obligación de notificar las brechas de seguridad a las diferentes autoridades de control naciese como un instrumento de ayuda y apoyo a las empresas y organizaciones que las estuviesen sufriendo y de prevención para el resto, no debemos olvidar que en el caso concreto de las brechas de datos personales, la comunicación directa a las personas físicas afectadas las coloca en la posición en la que siempre deben estar, la salvaguarda de sus derechos y libertades, permitiéndoles de esa forma tomar las medidas que estén únicamente en su mano para minimizar el impacto de la brecha sobre las mismas. Además, la repercusión pública poco a poco va concienciando a la sociedad sobre los riesgos e importancia de una gestión adecuada de la seguridad en nuestra vida diaria.
Pero en muchos casos, desafortunadamente, solo el riesgo de sanción puede servir de incentivo para impulsar el cumplimiento del deber de notificar y comunicar sobre estas brechas de datos y su gestión.
La norma está planteada para que los responsables tengamos que entender cada brecha, gestionarla adecuadamente, determinar si se debe de notificar a la autoridad de control y, en su caso, comunicar a los interesados; todo ello adoptando las medidas necesarias para contenerla cuanto antes, con el cuidado de ir acreditando una labor impecable durante la crisis, y todo ello en el plazo límite de 72 horas.

Download