«Asesora Brecha», la nueva herramienta de la AEPD

La Agencia Española de Protección de Datos (AEPD) acaba de instaurar la herramienta “Asesora Brecha”, cuyo objetivo será el de ayudar a los responsables de tratamientos a decidir si deben notificar una brecha de datos personales a la autoridad de control.

Una brecha de datos personales es un incidente de seguridad que puede ocasionar la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.

En este sentido, la norma es clara y el Reglamento General de Protección de Datos establece la obligación que tienen los responsables que tratan datos personales de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebiday en un plazo máximo de 72 horas desde que haya tenido constancia de la misma, salvo que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas.

La citada brecha puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales. Es en este sentido por lo que conviene intentar evitarlas y, en caso de que sucedan, tramitarlas de forma correcta, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.

En el ámbito privado, los responsables del tratamiento afectados por una brecha de datos personales deberán notificar a la AEPD:

-Cuando su único establecimiento esté localizado en España.

-Si tienen varios establecimientos en la Unión Europea, únicamente cuando el establecimiento principal esté localizado en España.

-Si no tienen establecimiento principal en la Unión Europea, sólo en el caso de que hayan designado un representante en España.

-Si no tienen establecimiento ni representante en la Unión Europea, en el caso de que la brecha de datos personales cuente con afectados en España.

Las grandes brechas de datos personales no siempre ocurren en los sistemas más importantes de una organización sino en sistemas secundarios que albergan una gran cantidad de información o pueden ser la puerta de entrada a otros sistemas.

Por otra parte, hay que señalar que, las plataformas tecnológicas de productividad utilizadas en las organizaciones se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

El correo profesional, que antes era el único canal de información interna en muchas entidades, ha dejado paso a las plataformas tecnológicas de productividad y ofimática en la nube. A través de estas plataformas fluye una gran parte de la información de la organización, en particular, datos de carácter personal y, en los últimos tiempos, las plataformas se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

Antiguamente, el correo electrónico se encontraba alojado en los servidores de la organización y estaba administrado por personal propio o externo. Con la introducción de las nuevas tecnologías, como la mensajería instantánea o las redes sociales, el punto de partida es diferente.

Además, hay que precisar que, el correo electrónico ha crecido también en funcionalidad. Si antes era un simple medio de intercambio de mensajes de texto, ahora constituye una parte clave del proceso de toma de decisiones de la organización al haber añadido funcionalidades extra como compartición de documentos en la nube, videoconferencia, encuestas, multimedia, etc.

Como resultado de esta evolución, las entidades han acumulado grandes repositorios de información en la nube. Normalmente, estos almacenes están accesibles con las mismas credenciales del correo electrónico. La nube almacena y procesa información  actualizada, y también histórica, de organizaciones públicas y privadas de cualquier ámbito, desde pequeñas empresas a grandes compañías, pasando por centros educativos.

El acceso a las plataformas de productividad online también ha experimentado cambios. Al principio era necesario utilizar el ordenador corporativo conectado a la intranet para acceder al correo electrónico. En la actualidad, por el contrario, se puede afirmar que es posible acceder desde cualquier dispositivo con conexión a internet que dispongamos a nuestro alcance, independientemente de la red a la que estemos conectados.

En la mayoría de los casos, ya no es necesario disponer de una aplicación específica para el acceso, basta simplemente con un navegador web, y una única dirección común para el acceso de los empleados de todas las organizaciones que utilicen la misma plataforma corporativa. Por ello, se dice que esta es una de las ventajas de tener la información en la nube, pero a su vez un riesgo inherente a esta tecnología.

Entre las amenazas, se podrían enumerar las siguientes:

El responsable del tratamiento ha de adoptar medidas para minimizar la probabilidad de que se materialicen las amenazas anteriores. Y, entre ellas, podemos destacar:

Dicho todo esto eso, pasamos a recalcar un dato y, es que la AEPD recibe alrededor de 1.500 notificaciones de brechas de datos al año, lo que representaría un alto índice de situaciones en las que el asesoramiento de la Agencia puede resultar clave para la gestión adecuada de este tipo de incidentes.

Esta herramienta asesorará sobre quién tiene que notificar; qué situaciones se corresponden con una brecha de datos personales y cuáles no; cuál es el organismo competente (la AEPD, las autoridades autonómicas de protección de datos u otras autoridades de Estados Miembros de la UE), y si esa brecha de datos personales debe ser notificada o no en función del riesgo.

Asimismo, será gratuita, fácil de usar y estará ordenada en secciones de forma que no será necesario completar el formulario íntegro en todos los casos.

La utilización de “Asesora Brecha” será independiente de la obligación de comunicar brechas de datos personales a los afectados para cuyo caso la AEPD dispone de Comunica-Brecha RGPD. También es importante señalar que, en el caso de que una persona responsable utilice “Asesora Brecha” y arroje como resultado que debe notificar la brecha de datos a la autoridad de control, deberá hacerlo sin dilación indebida a través del formulario de notificación de brechas.