Una de las importantes novedades que introduce el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), que entrará en aplicación el próximo 25 de mayo de 2018 es la obligación de la notificación de las violaciones de seguridad.

Tal como establece la propia definición en el RGPD, será cualquier incidente en materia de seguridad de la información que afecte a datos de esta naturaleza, entendido esto como eventos que puedan ocasionar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. En materia de seguridad de la información, son eventos que impactan en las tres dimensiones: confidencialidad, integridad o disponibilidad.

En el presente post trataremos de reflexionar respecto a esta nueva obligación y lo que ello implica en cualquier organización.

La primera reflexión a considerar es que cuando deba iniciarse el proceso de notificación de la violación de seguridad ya se estará en una situación de fracaso, desde la perspectiva de la protección de datos. Este tipo de medidas, la notificación, se encuadran dentro de las estrategias de respuesta ante un incidente y suponen la materialización de un riesgo. Con esto queremos incidir en que ya se ha producido un daño (Inicialmente sin valorar probablemente) y se evidencia así el fracaso en la proactividad y prevención de incidentes. Por tanto, ante tales circunstancias, la organización afectada ya será cuestionada respecto a la debida diligencia en la protección y de no reaccionar rápido ante los hechos, también será cuestionada en la agilidad y diligencia frente a la respuesta ante el incidente. Por tanto, el principal objetivo de la organización y la principal preocupación del Delegado de Protección de Datos debe ser que este procedimiento de notificación no tenga que ejecutarse nunca. En este caso, la ausencia de incidentes es la mayor evidencia del trabajo bien hecho en la prevención.

La segunda reflexión incide en qué requisitos deben darse para lograr una respuesta ágil y rápida frente al incidente. En muchos casos, el tiempo es un factor que incrementa el impacto (sucede con otros eventos físicos como el fuego) y en donde el primer objetivo de la respuesta es la contención y mitigación de la amenaza, es decir, reducir al máximo el tiempo en el que ésta nos está causando daño. En casos de violaciones de seguridad y según las circunstancias en las que esta se produzca, lo primero es localizar el foco de impacto y si está todavía operativo, lograr que cese a la mayor brevedad posible para que el daño sea el menor posible.

Toda organización que se precie, y, por supuesto su Delegado de Protección de Datos, en caso de nombrarse, debiera tener control sobre sus sistemas de información. En este sentido, la monitorización del funcionamiento es una actividad básica para la gestión y control de los sistemas de información. Las tres dimensiones de la seguridad no se comportan igual frente a los daños. En cada caso, el proceso de gestión de incidentes requiere acciones muy diferentes según el tipo de amenaza y sobre qué dimensión se produce.

Supongo que el lector, a estas alturas, estará descubriendo otros aspectos que el RGPD ha querido robustecer y que a priori, no parecen tan evidentes. Una primera lectura de los artículos 33 y 34,  del nuevo Reglamento de Protección de Datos, nos llevaría a pensar que simplemente hay que enviar un escrito o bien a la Autoridad de control o al afectado, pero la clave, es el contenido del informe. Para poder conocer qué ha pasado y cuáles pueden ser los daños, hay que garantizar unas capacidades operativas en materia de gestión de la seguridad de la información.

Equipo de profesionales de Govertis