Gestión de brechas de seguridad

La Agencia Española de Protección de Datos (AEPD) ha presentado la ‘Guía para la gestión y notificación de brechas de seguridad’ junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE. El objetivo de este documento es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan. El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas. De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente. La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.

Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad. El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control. Por último, la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas (Fuente de la información: AEPD.  Fuente de la imagen: pixabay).

Memoria de actividades de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha publicado  su Memoria 2017, que recoge de forma exhaustiva las actividades realizadas por esta institución, las tendencias más destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. Uno de los objetivos más importantes iniciado en 2017 ha sido fomentar que empresas y organizaciones cumplan con los requerimientos del Reglamento General de Protección de Datos (RGPD). En este sentido, la Agencia presentó en 2017 Facilita_RGPD, una herramienta de ayuda para pymes que traten datos considerados de bajo riesgo y que se ha convertido en la sección más visitada de la página web. En tres meses de 2017 recibió casi 23.000 accesos, si bien en los días anteriores a aplicación del Reglamento la herramienta ha recibido una media de 5.000 accesos al día.

Durante 2017 se plantearon ante la Agencia 10.651 denuncias y reclamaciones de tutela de derechos ( 7.997 denuncias y 2.654 reclamaciones), lo que supone un ligero incremento con respecto al año anterior. Asimismo, se ha producido un descenso de las denuncias y reclamaciones que se encuentran en tramitación, que disminuyen más de un 30% sobre los valores de 2016, y que se corresponde con una mayor eficacia administrativa. Hay que destacar el incremento considerable (+36,8%) en los últimos dos años de las denuncias planteadas ante la Agencia en relación con el tratamiento de datos en internet, que han pasado de 557 en 2015 a 762 en 2017. Además, son numerosos los casos de actuaciones previas iniciadas por la Agencia a partir de la difusión de datos de terceros, intrusiones en sitios web relevantes o, en general, quiebras de seguridad en internet, a las que se incorporan las denuncias posteriores de los afectados.

Por otro lado, la inclusión indebida en ficheros de morosidad y la contratación irregular suponen, respectivamente, casi un 30 y un 15% de las resoluciones sancionadoras realizadas por la Agencia en 2017, con un incremento notable con respecto al año anterior. La experiencia de la AEPD en los últimos años pone de manifiesto que las principales reclamaciones de los ciudadanos son las relacionadas con la suplantación de la identidad en la contratacion de servicios de telecomunicaciones. Esa suplantación deriva en la facturación de servicios que no han contratado, el requerimiento del pago de los mismos y la inclusión en los denominados ficheros de morosidad en el supuesto de impago. La inserción indebida en ficheros de morosidad y la contratación irregular aglutinan más del 55% del importe global de sanciones impuestas por la Agencia. Por su parte, las resoluciones en las que se aplica la figura del apercibimiento -en su mayor parte pymes y particulares que no han sido sancionados o apercibidos con anterioridad y que implica la corrección de la conducta infractora y la adopción de medidas- se mantiene estable con respecto al año anterior.

En lo relativo a las reclamaciones iniciadas a instancia de ciudadanos que acuden a la Agencia reclamando latutela de sus derechos –habiéndolos ejercitado previamente ante el responsable del tratamiento, que los ha denegado o no ha respondido- ocupan el primer lugar los procedimientos de cancelación/supresión (744) seguidos, por este orden, de los referentes al acceso (376), rectificación (37) y oposición (51). Estas cifras se complementan con las consultas sobre el ejercicio de derechos planteadas en el servicio de Atención al ciudadano. En este caso, casi el 50% (43,34%) fueron sobre el derecho de cancelación, y específicamente un 12,38% sobre el denominado ‘derecho al olvido’ respecto de los enlaces de servicios de búsqueda en internet. En 2017 se atendieron casi 256.000 consultas planteadas por los ciudadanos a través de diferentes canales (+8% respecto a 2016). Los temas más consultados en las preguntas frecuentes están relacionados con los ficheros de solvencia patrimonial, la videovigilancia y las obligaciones de aquellos que tratan datos. El área específica de la Agencia para potenciar la comunicación con los menores, padres y profesores (Canal Joven) ha atendido cerca de 900 consultas, en su mayor parte planteadas por la comunidad educativa.

En el caso de las Administraciones Públicas, en 2017 la Agencia ha resuelto 69 procedimientos de infracción, correspondiendo 30 a la Administración Local, 20 a la Autonómica, 17 a la Administración General del Estado y 2 a otras entidades de derecho público. Estas declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos, incumplimiento de medidas de seguridad y por prestaciones de servicios que incumplen algunos requerimientos en materia de protección de datos. Ante la aplicación del Reglamento y teniendo en cuenta que la mayoría de las infracciones corresponden a AALL, la Agencia presentó el pasado abril una guía orientada a los entes locales con ejemplos prácticos y preguntas frecuentes así como una hoja de ruta para Administraciones Públicas. En cuanto a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 166 sentencias dictadas en 2017 un 78% confirmaron los criterios de la AEPD en cuanto al fondo del asunto, el porcentaje más elevado desde 2005 junto con 2016. Por su parte, en el año 2017 se han dictado por el Tribunal Supremo dos inadmisiones de recursos planteados contra sentencias de la Audiencia Nacional que habían confirmado a su vez sendas resoluciones de la Agencia.

Por último, respecto al segundo año de ejecución del Plan Estratégico de la Agencia, que contemplaba inicialmente 76 acciones programadas -a las que se incorporaron 9 acciones adicionales-, concluyó con un grado de ejecución del 92%. Algunas de las medidas más significativas puestas en marcha en 2017 fueron el diseño de herramientas y materiales para facilitar el cumplimiento del RGPD por parte de las empresas y AAPP; la aprobación del Esquema de certificación de Delegados de Protección de Datos; el impulso de procedimientos de mediación para la resolución de reclamaciones o el lanzamiento de guías y materiales para reforzar el ejercicio de los derechos de los ciudadanos (Fuente de la información y de la imagen: AEPD)..