Entrada 9 — Gestión de brechas de seguridad y notificaciones (Protección de Datos de Carácter Personal en España)

 

Entrada 9 — Gestión de brechas de seguridad y notificaciones

Protección de Datos de Carácter Personal en España

La seguridad absoluta no existe. Por eso, el RGPD no solo exige prevenir, sino también saber actuar cuando algo falla.

Una brecha de seguridad puede poner en riesgo los datos personales y, con ellos, la confianza de los interesados.

Esta entrada explica cómo identificar una brecha, cómo gestionarla y cuándo debe notificarse a la autoridad y al afectado.

 

1. ¿Qué es una brecha de seguridad?

El RGPD define la brecha como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración de datos personales, o la comunicación o acceso no autorizado a dichos datos”.

Ejemplos:

·       Robo de dispositivos sin cifrado

·       Acceso indebido a bases de datos

·       Pérdida de documentos físicos

·       Envío de correos masivos con destinatarios visibles

·       Ataques de ransomware

No todas las brechas deben notificarse, pero todas deben documentarse y analizarse.

 

2. ¿Qué hacer ante una brecha?

El responsable debe:

1.    Detectar la brecha lo antes posible

2.    Evaluar si implica riesgo para los derechos de las personas

3.    Notificar a la AEPD en un máximo de 72 horas si hay riesgo

4.    Informar al interesado si el riesgo es alto

5.    Documentar el incidente, causas, consecuencias y medidas

6.    Aplicar medidas correctoras y preventivas

Ejemplo: si se filtran datos de salud de pacientes, debe notificarse a la AEPD y a los afectados.

 

3. ¿Qué debe incluir la notificación a la AEPD?

·       Naturaleza de la brecha

·       Categorías y número de afectados

·       Consecuencias probables

·       Medidas adoptadas

·       Datos de contacto del DPD

·       Justificación si se notifica fuera de plazo

La AEPD puede requerir información adicional o iniciar actuaciones.

 

4. ¿Cómo informar al interesado?

Debe hacerse de forma:

·       Clara y comprensible

·       Sin tecnicismos innecesarios

·       Indicando riesgos y medidas adoptadas

·       Ofreciendo canales de contacto

Ejemplo: un correo directo explicando el incidente, sus efectos y cómo protegerse.

 

5. Herramientas y buenas prácticas

·       Protocolos internos de gestión de brechas

·       Registro de incidentes

·       Simulacros y formación

·       Guías de la AEPD

·       Normas ISO 27035 (gestión de incidentes)

·       Coordinación con el DPD y el equipo técnico

Una brecha bien gestionada puede convertirse en una oportunidad para mejorar.

 

6. Cierre: comunicar bien es proteger mejor

Ante una brecha, el silencio no protege. La transparencia, la rapidez y la empatía son claves para preservar la confianza.

Gestionar bien una brecha no solo cumple la norma: honra a quienes confiaron sus datos.

En la próxima entrada abordaremos el papel de la AEPD y el sistema sancionador.