El tratamiento de datos personales con diversas finalidades y diferentes volúmenes de información y complejidad es una realidad dentro de la actividad cotidiana de las empresas.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, y en ese sentido la rápida evolución tecnológica y el nivel de globalización han planteado nuevos retos para la protección de datos personales.
Desde la AEPD consideramos de interés general la colaboración con asociaciones y colectivos de expertos por este motivo, la Guía para la gestión y notificación de brechas de seguridad está promovida y coordinada por la AEPD e ISMS Fórum, con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad eficaces, por lo que se pretende que sea de utilidad para todos aquellos que quieran o necesiten familiarizarse con la temática relativa a la gestión y notificación de brechas de seguridad. Por otra parte, y como no podría ser de otra forma, tanto INCIBE como CCN-CERT también han participado en la elaboración final de esta guía aportando su experiencia y conocimiento en la gestión de brechas de ciberseguridad.
Esta guía va dirigida a responsables de tratamientos de datos personales de diversa índole que puedan estar afectados por brechas de seguridad de los datos, con el objetivo de facilitar la interpretación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa a efectos estadísticos y de seguimiento, y se adecúe a las nuevas exigencias del RGPD.
Se trata de una guía que pretende cubrir el amplio abanico del tejido empresarial español, pequeñas, medianas o empresas grandes de toda índole, empresas con grandes tratamientos de datos y empresas con tratamientos reducidos y que, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.
La difusión de la guía debe servir también para transmitir y divulgar a profesionales, interesados y el conjunto de la sociedad la importancia de la gestión, tratamiento y resolución de este tipo de incidentes, así como las medidas para su prevención, y no sólo su preceptiva notificación.
Pretende facilitar a los responsables y encargados de los tratamientos un plan de actuación para enfrentarse a las brechas en función de las fases habituales en las tareas implicadas para paliar o aminorar las consecuencias negativas, por ejemplo:
- Se ha realizado una clasificación de mecanismos de detección e identificación de las brechas
- Se establecen tipologías de brechas teniendo en cuenta su peligrosidad
- Se tiene en cuenta un plan de actuación con las figuras implicadas y los procesos que son necesarios tener en cuenta (análisis, clasificación, contención, respuesta, seguimientos, cierre,…)
- Se establecen prioridades para llevar a cabo la contención la solución y la custodia de evidencias
- Finamente la guía será de ayuda para llevar a cabo procesos de notificación en aquellos casos en que sean necesaria.
En definitiva esperamos que esta guía sea una ayuda para la gestión integral de las brechas de seguridad, elemento que debe entenderse como parte de su proactividad y no exclusivamente una forma de dar cumplimiento a la obligación de mantener un registro documental de las incidencias y las notificaciones.