INFORME DE LA AEPD: INCIDENTES DE SEGURIDAD

Technology photo created by freepik – www.freepik.com

Según definición del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y de la Agencia Española de Protección de Datos (AEPD),  una brecha de seguridad es un incidente que afecta a datos personales, tratados digitalmente o en formato papel, ocasionando su destrucción, pérdida, alteración, comunicación a terceros y/o acceso no autorizado. Este incidente puede tener un origen interno o externo y ser de carácter accidental o intencionado.

La AEPD publicó, este jueves25 de junio, el informe del mes de mayo sobre las brechas de seguridad notificadas a ésta. Incluye datos de evolución, tipología, contexto, categoría de los datos y severidad de las consecuencias, entre otros. De las 90 notificaciones recibidas (2,9 de promedio diario):

— 87 han utilizado como canal de comunicación el formulario de “notificación de brechas de seguridad” publicado en la Sede Electrónica de la AEPD. 

— 48 notificaciones indicaron que no informarían a los afectados o tenían pendiente decidir si lo harían.

— Algo más de la mitad de las notificaciones (52), indicaron que la severidad de las consecuencias para los afectados era baja o muy baja. 

También cabe señalar que más de la mitad de las notificaciones del mes de abril afectaron a más de 10.000 personas y que más de la mitad de las del mes de mayo afectaron a su vez a más de 150.000 personas. 

No todos los incidentes graves ocasionan una actuación de la AEPD. En abril, de las 99 notificaciones recibidas, sólo 4 de ellas fueron derivadas a la Subdirección General de Inspección de Datos (SGID) para proceder a la investigación del incidente.

Desde Logic Data Consulting les recordamos nuevamente la obligación de informar a la AEPD sobre este tipo de incidentes, siendo indispensable el llevar a cabo, con carácter previo a la notificación, el análisis de las características de la brecha de seguridad; estableciendo la tipología (confidencialidad, integridad y/o disponibilidad), la valoración del alcance (naturaleza y volumen de datos, personas afectadas, consecuencias para los derechos y libertades, impacto, etc.) así como el plan de actuación (conclusiones sobre la necesidad de notificación a la AEPD y estudio, en su caso, de la comunicación a los afectados) y el plan de respuesta (entre otras medidas, las dirigidas a evitar o mitigar el que se produzca de nuevo un incidente similar).

Las brechas de seguridad están a la orden del día en cualquier organización. El primer objetivo es detectarlas rápidamente y gestionarlas correctamente, con lealtad y transparencia.