![\"\"](\"https:\/\/www.csfconsulting.es\/wp-content\/uploads\/Imagen_1.png\" "\\"\\"")
<\/p>\nDe acuerdo con la nueva normativa de protecci\u00f3n de datos se ha introducido la obligaci\u00f3n de notificar a la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) las “brechas de seguridad” que afecten a datos personales que est\u00e9 tratando su empresa. Tenga en cuenta sus obligaciones por si en alguna ocasi\u00f3n sufre una incidencia de este tipo.<\/p>\n
Una brecha de seguridad puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar da\u00f1os y perjuicios f\u00edsicos, materiales o inmateriales.<\/p>\n
Lo que subyace a dicha obligaci\u00f3n de notificaci\u00f3n es una obligaci\u00f3n m\u00e1s amplia y que emplaza al responsable a implementar un procedimiento de gesti\u00f3n de incidentes de seguridad que afecten a datos de car\u00e1cter personal, cuyo resultado visible al exterior son las notificaciones tanto de las brechas de seguridad como de las acciones y decisiones relativas a dichas violaciones.<\/p>\n
<\/p>\n
Para saber actuar ante una brecha de seguridad, lo primero es saber qu\u00e9 es y ser capaz de detectarlas e identificarlas.<\/p>\n
Una brecha de seguridad es un incidente de seguridad que afecta a datos de car\u00e1cter personal. Este incidente puede tener un origen accidental o intencionado y adem\u00e1s puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucci\u00f3n, p\u00e9rdida, alteraci\u00f3n, comunicaci\u00f3n o acceso no autorizado a datos personales.<\/p>\n
Por tanto:<\/p>\n
El responsable del tratamiento debe esta preparado para esta posibilidad, debe establecer qui\u00e9n y qu\u00e9 acciones se ejecutar\u00e1n en caso de producirse. Para ello, lo primero es ser consciente de qu\u00e9 datos personales se est\u00e1n tratando, con qu\u00e9 medios y los riesgos que puede haber. As\u00ed, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de car\u00e1cter personal.<\/p>\n
El responsable de tratamiento debe poner en marcha el plan de actuaci\u00f3n, concretando tareas espec\u00edficas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.<\/p>\n
Adem\u00e1s, cuando se sufre una brecha de seguridad se debe recabar una serie de informaci\u00f3n que ser\u00e1 muy \u00fatil para decidir qu\u00e9 medidas tomar y qu\u00e9 acciones se emprender\u00e1n para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados.<\/p>\n
Informaci\u00f3n que debe recabar:<\/strong><\/p>\n Si en alguna ocasi\u00f3n se produce una incidencia de este tipo en su empresa, debe notificarla sin dilaci\u00f3n a la AEPD (debe hacerlo en el plazo m\u00e1ximo de 72 horas desde que se tenga conocimiento de ella) a trav\u00e9s de un formulario que existe en la web de la Agencia. La ley s\u00f3lo le exonera de realizar esta notificaci\u00f3n en casos concretos en los que no exista riesgo para el titular de los datos (por ejemplo, porque los datos afectados ya eran p\u00fablicos o est\u00e1n encriptados).<\/p>\n Si adem\u00e1s entra\u00f1a un alto riesgo deber\u00e1 comunicarse sin dilaci\u00f3n indebida a los afectados a trav\u00e9s del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitir\u00e1 que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicaci\u00f3n se les deber\u00e1 explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.<\/p>\n En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que deber\u00e1 de valorar si notifica ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detallados en el contrato mediante el cual se establece el encargo del tratamiento.<\/p>\n Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.<\/p>\n La AEPD ha publicado un Gu\u00eda para la gesti\u00f3n y notificaci\u00f3n de brechas de seguridad dirigida a responsables de tratamientos de datos personales que puedan estar afectados por brechas de seguridad de los datos, con el objetivo de facilitar la interpretaci\u00f3n del RGPD en lo relativo a la obligaci\u00f3n de notificar a la autoridad competente y, en su caso, a los afectados de modo que la notificaci\u00f3n se haga por el canal adecuados, contenga informaci\u00f3n \u00fatil y precisa a efectos estad\u00edsticos y de seguimiento, y se adec\u00fae a las nuevas exigencias del RGPD.<\/p>\n\n
Notificaci\u00f3n a la AEPD y comunicaci\u00f3n a los afectados<\/h3>\n