¿Sabéis qué debéis hacer en caso de tener una brecha de seguridad? Y, ¿Cómo actuará la agencia ante una brecha? ¿Nos sancionará o no?
Nuestro CEO, Jaume Feliu, ingeniero y DPD certificado, participó el pasado 26 de octubre en una mesa de debate organizada por el Colegio de Abogados de Barcelona, junto a dos ponentes más, José Luis Rojo de Luque y Júlia Bacaria. En este evento, analizaron las brechas o incidentes de seguridad desde un punto de vista técnico y jurídico, dando respuesta a las preguntas que hemos planteado al inicio y a muchas más. El debate tuvo una muy buena acogida y os invitamos a verlo en el siguiente enlace: BRECHAS O INCIDENTES DE SEGURIDAD.
En las siguientes líneas vamos a haceros un breve resumen de aquellos aspectos que, a nuestro modo de ver, son más interesantes y conviene tener en cuenta:
¿Qué debemos hacer ante una brecha de seguridad?
El RGPD introduce en sus artículos 33 y 34 la obligación de notificar las brechas de datos personales que puedan suponer un riesgo para los derechos y libertades de las personas físicas. Un ejemplo de brecha de seguridad puede ser el envío masivo de un email sin ocultar a los destinatarios o el robo o sustracción de información.
En caso de que puedan entrañar un alto riesgo para los derechos y libertades de los afectados se les deberá notificar. Nos podemos encontrar con el caso de que sean muchos y no se puedan identificar todos, ante esta situación se realizará una comunicación pública, por ejemplo, mediante la página web de la empresa afectada.
Notificación
Como hemos comentado en el punto anterior, no todas las brechas deberán ser comunicadas a la agencia, únicamente las que supongan un riesgo para los derechos y libertades de las personas físicas. En caso de no notificarse, el responsable debe garantizar que no se da la situación de peligro descrita. El plazo máximo para realizar la notificación es de 72 horas.
No reaccionar a tiempo ante estas brechas no solo nos puede conllevar una sanción por parte de la agencia, sino también la pérdida de control sobre los datos personales, daños reputacionales o pérdida de confidencialidad de datos sujetos al secreto profesional.
La notificación se realiza a través de la sede electrónica de la agencia, donde también recibiremos sus comunicaciones, como, por ejemplo, si necesitamos aportar más información (en este caso tendremos el plazo de 30 días) o si tenemos la obligación de comunicarlo a los afectados.
¿Cómo actuará la agencia ante esta comunicación?
La actuación puede ser de oficio y a instancia de parte, y su decisión final dependerá del caso concreto, eso sí, siguiendo una misma línea de resolución. Desde PymeLegal hemos comprobado que con la proactividad de las empresas y un buen asesoramiento es posible que expedientes que podían terminar en sanción hayan sido archivados, sin amonestación alguna.
A lo largo del debate, también se han tratado otros temas de interés como la ciberseguridad, la importancia de realizar copias de seguridad y tener los medios de seguridad adecuados o inteligencia artificial, entre otros.
En conclusión
Los pilares fundamentales para poder hacer frente a las brechas de seguridad son la formación a los trabajadores y las comunicaciones diligentes a la agencia, junto con una gran implicación de las personas que lo gestionan.
Respecto a la formación, los usuarios deben saber qué riesgos existen y estar concienciados de que esta situación les puede pasar.
Si estáis interesados en una formación a medida para vuestra empresa o en un curso para vuestros empleados, no dudéis en poneros en contacto con nosotros o registraros directamente en nuestra academia, para aprender lo que debéis saber en materia de protección de datos. Actualmente, tenemos un descuento especial del 40% con el código “PYME-RGPD2021”.
Viendo la buena acogida del tema, hemos decidido realizar una sesión formativa sobre brechas y sanciones para nuestros clientes y partners; os iremos informando.
Y recordad, para cualquier duda o consulta que tengáis al respecto, estamos a vuestra disposición.
El equipo de PymeLegal.