La semana pasada nos vimos sorprendidos por la comunicación por parte de Ticketmaster de una posible brecha de seguridad que afectaba a los datos de sus clientes. Todo incidente debe llevarnos a la reflexión y plantearnos la eterna pregunta ¿Me puede pasar a mi? Este es un incidente que pone de manifiesto la importancia de garantizar tanto la protección propia como la de cualquiera de los proveedores que formen parte de la cadena de suministro.
En este caso, la puerta de entrada ha sido un problema en un producto de atención a usuarios que gestionaba el proveedor Inbenta Technologies.
En el marco del Reglamento de General de Protección de Datos, hay ahora cuestiones contractuales que son muy relevantes y que deben ser incluidas en toda elaboración de cláusulas para cuando se produzcan incidentes. En relación a la gestión de las notificaciones de brechas de seguridad, el artículo 33 establece el plazo de 72 horas para notificar a la Autoridad de control una vez se tiene conocimiento del incidente y se ha valorado el riesgo para los derechos y deberes del afectado. Sin embargo, el punto siguiente establece que esa notificación, cuando el incidente se produce y se es encargado de tratamiento, debe realizarse sin dilación indebida. Son muchos los casos de organizaciones y empresas que suelen desempeñar el doble papel de responsable de tratamiento y encargado. Por tanto, cuando sucede un incidente y se identifican los sistemas afectados, se deben iniciar las actividades de comunicación y coordinación con aquellas entidades para las que ostentamos la figura de encargado de tratamiento dando la máxima transparencia sobre lo acaecido con el objetivo de poderles permitir a ellas, como responsables del tratamiento, contar con información precisa para dar cumplimiento a los requisitos del artículo 33 del RGPD.
Es necesario, por tanto, establecer en el contrato de encargo de tratamiento con cierta claridad cuál será el protocolo a emplear en caso de incidente y establecer los responsables en la coordinación y respuesta por ambas partes.
El responsable de tratamiento identificará al interlocutor con el que comunicar y el encargado también definirá quién será el punto de contacto al que dirigirse en caso de problemas. Se pueden también establecer los marcos de colaboración y los servicios a prestar por parte del encargado para contribuir en la reacción y respuesta frente al incidente. En muchos casos, la capacidad de reacción del responsable del tratamiento dependerá del nivel de diligencia de sus encargados de tratamientos. Pensemos proveedores que ofrecen cualquier modalidad de servicios en cloud (IaaS, PaaS o SaaS). La respuesta técnica estará en manos del proveedor tecnológico y podría darse la circunstancia de que el incidente afectará de forma simultánea a varios responsables del tratamiento. No suele gustar plantearse escenarios de riesgos pesimistas pero el momento de atar estos cabos es justo en el proceso de contratación del encargado. Encontrar un proveedor que tenga estos temas resueltos y muestre proactividad y claridad de ideas es un buen síntoma de estar acertando en la elección.
Merece la pena también leer la sección creada por Ticketmaster con la información sobre el incidente como ejemplo del modo en el que deben realizarse este tipo de comunicaciones. Está accesible en la URL https://seguridad.ticketmaster.es/
El equipo de profesionales de Govertis
KEEP READING