4.3 C
Madrid
jueves, 9 febrero 2023

La Agencia de Protección de Datos gestiona casi 700 brechas de datos notificadas en los primeros cinco meses de 2021

MÁS INFORMACIÓN

La Agencia Española de Protección de Datos (AEPD) ha gestionado más de 700 brechas de datos notificadas en los primeros cinco meses de 2021, la mayoría de ellas se han producido por un ataque externo e intencionado siendo el ‘ransomware’ la amenaza más frecuente. Los ataques con virus tipo ‘ransomware’ son aquellos que restringen la entrada a parte del sistema y piden un rescate por liberar los archivos.

Así lo ha dado a conocer este martes la Agencia, con motivo de la publicación de una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados.

En este sentido, el organismo que dirige Mar España ha destacado que esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos.

«El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones», ha detallado la AEPD.

Asimismo, ha recordado que «cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada». «Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales», ha subrayado.

En relación con la Guía, el organismo ha adelantado que comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.

«Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción», ha explicado.

La AEPD ha apuntado que la Guía ofrece directrices para «facilitar y simplificar» el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.

COMUNICACIÓN A LOS AFECTADOS

Como complemento a la presente Guía, la Agencia ha recordado que dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo.

Finalmente, ha aclarado que la decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta, y que, «en ningún caso», la Agencia almacena los datos consignados durante el proceso.

MÁS INFORMACIÓN

- Publicidad -
- Publicidad -

Última hora