¿Has sufrido un ataque informático en tu empresa? ¿perdido información de los clientes?

¿Sabes cómo actuar en caso de que tu empresa sea víctima de una fuga de información? ¿Qué procedimiento seguir?

Aquí tienes una completa Guía sobre las Brechas de seguridad y su notificación obligatoria según el RGPD.

¿Qué es una brecha de seguridad?

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “brechas de seguridad”, de una forma muy amplia, que abarca todo percance que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Incidentes como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros son consideradas violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento indica.

Regulación

regulacion-lopd

La notificación de brechas de seguridad de los datos personales además de tener su propia regulación, aparece en otros apartados de esta norma, como es el caso de las funciones del Delegado de Protección de Datos (documentar, notificar y comunicar las violaciones de seguridad), o en lo relativo al principio de “accountability” (responsable y encargado deben articular los procedimientos de cómo actuar ante las fugas de seguridad).

RGPD

El Reglamento europeo de Protección de Datos regula esta notificación de brechas de seguridad en los artículos 33 y 34, diferenciando entre la notificación realizada a las Autoridades de control y la realizada a los interesados.

Nueva LOPDGDD

Antes de la entrada en vigor del RGPD solo se contemplaba la obligación de notificar las violaciones o brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público. Esto se encuentra regulado en la Ley 9/2014 General de Telecomunicaciones y en el  Reglamento (UE) nº 611/2013 de la Comisión.

La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, aprobada en diciembre de 2018, solo se refiere a las notificaciones de brechas de seguridad en la disposición adicional novena, referida al tratamiento de datos en casos de notificaciones de incidentes de seguridad. En todo lo demás será de aplicación lo establecido en el RGPD.

La LOPDGDD sí habla de la responsabilidad proactiva como principio que debe regir el tratamiento de datos personales. Y dentro de esa responsabilidad se incluyen las notificaciones de incidentes de seguridad.

Gestión de brechas de seguridad: detección e identificación y clasificación

Hoy en día, cualquier empresa, por muy pequeña que sea, puede ser víctima de un ataque informático o un fallo de seguridad.

Por eso es importante que la empresa sea consciente y se prepare para poder gestionar esa brecha de seguridad. Si la empresa tiene establecido un procedimiento de gestión de incidentes de seguridad, en caso de que este se produzca, podrá responder más rápida y eficazmente. Y, así, se reducirán los efectos que dicho incidente pueda causar a la empresa o a terceros.

La empresa, en su política de seguridad de la información, debe incluir un apartado referido al procedimiento para gestionar las brechas de seguridad. Y debe tener un registro de incidencias donde se anote cada fallo de seguridad sufrido, sus consecuencias y su resolución.

Según lo indicado, el primer paso ante una brecha de seguridad será la preparación. Aquí es donde la empresa especificará las medidas de seguridad técnicas y organizativas adecuadas para hacer frente al incidente. Se indicará quiénes deben implicarse en su gestión, si fuera necesario realizar análisis de riesgos o evaluaciones de impacto y el plan de respuesta establecido.

Detección e identificación

La fase de detección e identificación consiste en determinar qué situaciones se entenderán como incidentes de seguridad y qué mecanismos de alerta vamos a utilizar.

Con ello la empresa podrá identificar el fallo de seguridad en el momento en que se produzca.

En el RGPD se establece un plazo de 72 horas como máximo para notificar las brechas de seguridad a la AEPD y a los afectados. Por eso es importante disponer de un sistema que nos alerte de la existencia de un fallo de seguridad con la máxima rapidez.

Pueden existir sistemas de detección e identificación internos o externos.

Dentro de los mecanismos internos podemos destacar:

  • Accesos a los sistemas con contraseñas
  • Videovigilancia o controles de acceso a determinadas zonas
  • Procesos de control de desastres naturales
  • Comunicaciones del personal de la empresa
  • Alertas de antivirus
  • Anomalías en el tráfico de la red
  • Consumos repentinos y exagerados de memoria, etc.

En cuanto a los sistemas externos de detección destacan:

  • Comunicación del incidente por proveedores externos o por un cliente
  • Aviso de organismos públicos como el INCIBE o las fuerzas y cuerpos de seguridad

Una vez detectado ese incidente, la empresa deberá determinar si se trata o no de un fallo de seguridad, cuál es su naturaleza y si se han visto afectados datos personales.

Debe existir a nivel interno un documento que registre las brechas de seguridad que afecten a datos personales en el que se anotarán:

  • Descripción y clase de incidente
  • Gravedad del mismo
  • Medidas a adoptar para solucionarlo

Clasificación

Para clasificar un incidente de seguridad debemos considerar lo siguiente:

  • Tipo de amenaza: por ejemplo, fraude, málware, accesos no autorizados, etc.
  • Origen del fallo: interno o externo.
  • Tipo de datos y de usuarios afectados
  • Cantidad de sistemas afectados
  • Consecuencias del fallo para la empresa y para los afectados
  • Método a través del que se ha realizado el ataque
  • Requisitos legales

Dentro de los ataques que pueden originar un incidente de seguridad podemos destacar:

  • 0-day: con este fallo el atacante puede acceder a los datos hasta que se resuelva esa vulnerabilidad.
  • APT (ataque dirigido): estos son ataques que pretenden conseguir información esencial para poder efectuar otros ataques más sofisticados. Por ejemplo, el envío de emails a los empleados con malware para que este se instale en los ordenadores y les permita acceder al sistema.
  • Denegación de servicio (DDoS): con este ataque se llena de tráfico el sistema para impedir que se de servicio a los usuarios.
  • Malware: es un software malicioso que pretende dañar un sistema informático.
  • Filtración o robo de datos.
  • Explotación de vulnerabilidades de aplicaciones: con ello se pretende comprometer esa aplicación de la empresa.
  • Ingeniería social: se trata de métodos de engaño, normalmente a través de redes sociales, para conseguir información importante. El principal ataque de ingeniería social es el phising.

Tipos

Existen tres tipos de brechas de seguridad:

  • Fallo de confidencialidad: se trata del acceso a la información por personas que no están autorizadas a ello.
  • Fallo de integridad: se trata de una modificación o sustitución de datos que ocasiona un perjuicio para el afectado.
  • Brecha de disponibilidad: se trata de la imposibilidad de acceder a la información cuando es necesario.

Se valorará también la peligrosidad de ese ataque en función de la cantidad de sistemas afectados, el tipo y volumen de datos comprometidos, número de usuarios afectados y consecuencias que pueden producirse para la empresa y los afectados.

Gestión de brechas de seguridad: Plan de actuación

En el momento en el que hemos localizado e identificado el fallo de seguridad debemos pasar a la primera fase que es analizar y clasificar ese incidente según la información obtenida.

Si se comprueba que ese incidente ha afectado a datos personales estamos ante una brecha de seguridad y, por tanto, debemos iniciar también el procedimiento para su notificación.

Figuras implicadas

Para una adecuada gestión de la brecha de seguridad detectada debe existir una cooperación entre distintas partes que son:

  1. Responsable del tratamiento: es quien debe aplicar las medidas de seguridad apropiadas para garantizar el cumplimiento del RGPD. Y también es quien debe notificar ese incidente de seguridad a la AEPD y a los afectados.
  2. Expertos en seguridad informática: estos pueden ser internos de la empresa o externos (Encargados del tratamiento). El Responsable de tratamiento puede delegar la gestión del incidente en el encargado del tratamiento justificándolo en el conocimiento y experiencia de ese tercero.
  3. Delegado de Protección de Datos: si la empresa ha nombrado un DPD, este debe participar en el plan de actuación para la gestión de esa brecha de seguridad.
  4. Autoridad de control competente (en nuestro país, la AEPD): esta comprobará que se ha cumplido la normativa de Protección de datos en la gestión del incidente.

Análisis y clasificación

En esta primera fase de gestión de la brecha de seguridad se distinguen distintos pasos:

  • Recopilación y análisis de toda la información relacionada con ese incidente de seguridad: se averiguará el origen del fallo para determinar las acciones más adecuadas para resolverlo.
  • Clasificación precisa de la brecha de seguridad.
  • Evaluar los perjuicios que ese incidente pueda ocasionar para los derechos y libertades de los afectados.
  • Investigación, comunicación y coordinación con todos los agentes internos y externos implicados.
  • Inicio del plan de respuesta: las primeras acciones para frenar el incidente son fundamentales para limitar los daños.
  • Iniciar el proceso de notificación.
  • Determinar y aplicar las medidas necesarias para reducir o evitar los daños.

Plan de contingencia ante la brecha

El proceso de respuesta a una brecha de seguridad comprende una serie de acciones que deben realizarse por un equipo de respuesta a incidentes dentro del departamento informático de la empresa o servicio informático contratado externamente.

Dentro del plan de contingencia de una brecha de seguridad existen diversas fases que analizaremos a continuación.

1. Contención

La fase de contención del incidente implica la realización de acciones que frenen ese ataque. Por ejemplo, aislar el sistema infectado de la red, desactivar determinadas funciones, etc.

Por eso es importante que las empresas elaboren políticas internas de gestión de incidentes de seguridad y que realicen comprobaciones de las mismas para asegurarse de que funcionan correctamente.

Estas acciones de contención pueden ser inmediatas o aplicarse progresivamente, según el tipo de incidente. También se establecerá una prioridad de medidas a aplicar.

Algunas de las actuaciones para contener el incidente pueden ser:

  • Impedir el acceso al origen de la difusión, como puertos, dominios, equipos informáticos o servidores.
  • Modificar todas las contraseñas de acceso a información sensible.
  • Realizar una copia del sistema atacado para después hacer un análisis forense.
  • Solicitar la eliminación de los datos publicados, si se han enviado a servidores públicos.
  • Observar la difusión de la información enviada a páginas web o redes sociales.

2. Solución

En la fase de solución del incidente deben especificarse las tareas necesarias y los responsables de llevarlas a cabo.

Algunas de las actuaciones para solucionar la brecha de seguridad son:

  • Establecer un procedimiento de desinfección a través de herramientas o nuevas versiones del software.
  • Verificar que los datos almacenados en el sistema no han sido modificados.
  • Instalar y actualizar antivirus.
  • Restaurar las conexiones y los accesos al sistema.
  • Analizar los sistemas con antivirus.

Una vez aplicadas las medidas concretas, el equipo deberá comprobar que funcionan adecuadamente y que sirven para evitar que el mismo incidente pueda volver a ocurrir en el futuro.

Para ello es conveniente revisar el análisis de riesgos de la empresa y comprobar si ese riesgo estaba ya previsto o no. Si estaba previsto, habrá que determinar el motivo por el que las medidas de seguridad a aplicar no fueron efectivas. Si no estaba previsto, se incluirá como uno de los riesgos posibles y se establecerán las medidas de seguridad.

3. Recuperación

Con esta fase se pretende recuperar el servicio en su totalidad, garantizando su normal funcionamiento y evitando que surjan incidentes similares.

Deben establecerse soluciones que aseguren que no van a volver a producirse brechas de seguridad por el mismo motivo y reduzcan las posibilidad de nuevos incidentes.

La empresa debe elegir la estrategia que seguirá en el futuro, dependiendo del nivel de riesgo que esté dispuesta a asumir y del coste de las acciones para evitarlos.

Posteriormente se aplicarán las medidas indicadas en la estrategia a seguir para garantizar una continuidad de negocio en la empresa.

4. Recolección

Para notificar la brecha de seguridad es muy importante la documentación generada durante todo el proceso de respuesta. Y, una vez solucionado el incidente y recuperada la situación normal, se elaborará un informe con todas las conclusiones del proceso.

Toda esta documentación también servirá de prueba en procesos administrativos o judiciales.

La empresa debe recopilar y custodiar adecuadamente todas las evidencias de ese fallo de seguridad.

5. Comunicación

Debe documentarse adecuadamente todo el proceso de respuesta al incidente incluyendo las conclusiones de los responsables y equipo técnico para incluirlo en el informe de resolución de la brecha de seguridad.

Este informe debe contener:

  • Detalles del incidente de seguridad
  • Medidas de seguridad que existían en el momento de ocurrir ese incidente
  • Acciones de respuesta aplicadas
  • Sistemas aplicados para detectar nuevos fallos
  • Registro de las notificaciones realizadas durante el proceso

Es muy importante que exista una comunicación durante todo el proceso de respuesta. Tanto los responsables de seguridad como la dirección deben saber en qué ha consistido ese incidente y las medidas llevadas a cabo para solucionarlo. Al disponer todos de una información suficiente podrán cumplir correctamente sus obligaciones.

Notificaciones de brechas de seguridad

notificacion-lopd

Una de las principales obligaciones que el RGPD exige a los responsables de tratamiento de datos personales es notificar cualquier violación de seguridad que afecte a esos datos que manejan. 

¿Quién debe notificarlas?

Antes, con la LOPD, la obligación solo afectaba a las empresas de telecomunicaciones y a los proveedores de acceso a Internet o ISP.

Ahora, con el Reglamento general europeo de protección de datos se amplia a cualquier responsable del tratamiento, no ya solo las empresas del sector de las comunicaciones electrónicas.

Obligaciones del responsable de tratamiento

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de Protección de Datos competente, a menos que sea difícil que la violación produzca un riesgo para los derechos y libertades de los afectados.

Los responsables deben documentar todas las violaciones de seguridad.

En los casos en que sea probable que la violación de seguridad suponga un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de notificárselo a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD exige que se realice de manera inmediata.

La finalidad es siempre que el afectado pueda reaccionar tan pronto como sea posible.

¿A quién debe notificarse?

Por tanto, la notificación debe realizarse a:

  • La Autoridad de control, en nuestro caso, la AEPD.
  • Los propios afectados.

¿Cuándo?

La notificación de la quiebra a la AEPD debe producirse cuanto antes y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Criterios para valorar si un incidente de seguridad debe notificarse

A la hora de decidir si debemos notificar un determinado incidente de seguridad, debemos tener en cuenta:

  • El potencial daño para los datos de los interesados (agravios en los datos personales): este habrá de incluir el agravio emocional, así como físico y financiero. Algunas de las formas en las que este agravio puede manifestarse son: exposición al robo de identidad a través del lanzamiento de datos identificativos que no sean públicos, tales como números de pasaporte; o información sobre los aspectos privados de la vida de la persona como por ejemplo sus circunstancias financieras.
  • El volumen de datos personales afectados: habrá que evaluarlo en relación con el tipo de datos objeto de la brecha de seguridad.
  • El nivel de los datos personales, ¿son sensibles?: existen más probabilidades de que los derechos y libertades de la persona sean dañados cuando los datos envueltos en la brecha de seguridad son sensibles. Por tanto, incluso un solo registro podría ser el desencadenante de la brecha de seguridad si la información es particularmente sensible.

Procedimiento para notificar una brecha de seguridad

Pasos para informar a la AEPD de una brechas de seguridad:

  1. Valoración del riesgo
  2. Evaluar su hay daños materiales o inmateriales
  3. Calcular el alcance
  4. Ver si es una evidencia o un incidente real
  5. Rellenar el formulario de la AEPD

procedimiento-brecha-seguridad

Valoración del riesgo

La valoración del riesgo de la quiebra es diferente del análisis de riesgos previo a todo tratamiento. Se pretende determinar hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede ocasionar a los afectados puede causar un daño en sus derechos o libertades.

Daños materiales o inmateriales

Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por daños económicos o la exposición pública de datos confidenciales.

Alcance

Se entiende que se tiene conocimiento de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.

La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.

Evidencia o incidente real

En supuestos de quiebras que por sus características pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos. Sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

También puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad en determinar completamente su alcance. En esos casos, es posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso.

Para completar un registro de una incidencia, el Reglamento 611/2013 recoge un Anexo que puede servirnos como ejemplo del modelo que elaborará la AGPD.

La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

El criterio de alto riesgo debe entenderse en el sentido de que sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

Formulario

El Reglamento 611/2013 relativo a las medidas aplicables a la notificación de casos de violación de datos (ámbito proveedores servicios comunicaciones electrónicas), recoge un Anexo en el que se detallan varios extremos a tener en cuenta a la hora de realizar una notificación, que puede servirnos como modelo o anticipo de lo que deberá poner a disposición de las entidades nuestra AGPD.

En ese Anexo se recoge lo contemplado en el RGPD y se amplía con algunos campos que pueden ser útiles para llevar un registro completo de la incidencia.

Contenido mínimo

La notificación ha de incluir un contenido mínimo:

  • La naturaleza de la violación, categorías de datos y de interesados afectados,
  • medidas impuestas por el responsable para resolver esa quiebra y,
  • si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.

El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden adoptar los interesados para hacer frente a las consecuencias de la quiebra.

Excepciones a la obligación de notificación

La notificación a los interesados no será necesaria cuando:

  • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.

La UE elaborará un formulario estandarizado a nivel europeo tanto para facilitar a los responsables la presentación de unas notificaciones completas según los criterios del RGPD como para que esas notificaciones se efectúen de forma coordinada a en toda la Unión Europea.

Sanciones

sancion-lopd

El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera como infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Teniendo en cuenta que las multas administrativas se impondrán en función de las circunstancias de cada caso individual y se graduarán en función de una serie de criterios recogidos en el RGPD, entre ellos el tipo de los datos afectados, se puede concluir que las organizaciones deben contar con planes de contingencia para este tipo de sucesos y protocolos que aborden la gestión, notificación y solución de incidencias de este calibre.

ejemplos proteccion de datos

Una brecha de seguridad es por ejemplo cuando roban ordenadores de un Centro de Salud.

El robo incumbe a datos de carácter personal, incluyendo datos de salud que son considerados como especialmente protegidos.

Al afectar a menores, la notificación debe realizarse a sus padres o representantes legales. En el ordenamiento jurídico español, el Reglamento de desarrollo de la LOPD, establece en su artículo 13 el consentimiento de los menores a partir de los 14 años, por lo que, al ser una cuestión vinculada a dicho consentimiento, como es que se haya producido una fuga que afecte a los datos que se están tratando en virtud del mencionado consentimiento, se debería notificar a los menores a partir de 14 años y no a sus padres.

Las consecuencias y perjuicios de este robo

  • Respecto a la confidencialidad: vulneración del secreto; publicación de estos datos personales; utilización de los datos para realizar chantaje
  • Respecto a la disponibilidad: imposibilidad de seguir con el tratamiento de los pacientes; puede originar un retraso en la financiación sanitaria de esos pacientes;
  • Respecto a la integridad: si no existe una copia de seguridad, o la existente es muy antigua, se perderían todas las modificaciones y progresos de los historiales médicos almacenados en los cuatro ordenadores.

Medidas de seguridad que se podrían haber adoptado

  • Sobre la confidencialidad: realizar el cifrado los datos, sobre todo, los de salud.
  • Sobre la disponibilidad e integridad: efectuar una copia de seguridad, y tenerla actualizada.

Si se hubieran adoptado estas medidas, no sería necesario comunicar la brecha a los afectados. Además, valdría como prueba ante la Autoridad de Control para justificar la oportuna diligencia exigida.

Preguntas frecuentes

¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?

Si la brecha se produce por parte del encargado del tratamiento, este deberá alertar e informar al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.

¿Qué consecuencias tiene la notificación de la brecha de seguridad a la AEPD?

Puede ocurrir que si se ha publicitado la brecha (por ejemplo, en las redes sociales o medios de comunicación social), el daño al prestigio de la empresa puede ser mayor que cualquier sanción económica que se le pueda imponer.

Al realizar la “auto-denuncia” junto con la adopción de las medidas posteriores pertinentes para evitar daños mayores, la sanción económica será menor, además de hacerse un “lavado de imagen” de cara a la opinión pública.

¿Cuándo debe considerarse que supone un riesgo para los derechos de los interesados?

El RGPD proporciona una serie de criterios y ejemplos, sobre cuándo se considerarán vulnerados esos derechos y libertades. Entre ellos, cabe destacar:

  • usurpación de identidad o fraude
  • pérdidas financieras
  • daño para la reputación
  • pérdida de confidencialidad de datos sujetos al secreto profesional
  • reversión no autorizada de la seudonimización
  • casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
  • casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados

¿Qué ocurre si notifico la brecha de seguridad después del plazo de 72 horas?

Pues que puedes ser sancionado.

El RGPD es muy claro en este aspecto y establece el plazo máximo de 72 horas desde que se tiene conocimiento del incidente para notificarlo. Por tanto, si se comunica pasado ese plazo se considera un incumplimiento de la normativa y sería infracción grave. Aunque, dependiendo de la gravedad del incidente, la sanción podría reducirse.

¿Cómo puedo evitar un incidente de seguridad en mi empresa?

Esta es la pregunta del millón. Nadie estamos exentos de sufrir un ataque en nuestros sistemas informáticos o un fallo de seguridad.

Pero aplicando las medidas de seguridad adecuadas se lo pondremos más difícil a los atacantes. Y, si tenemos una política de seguridad de la información y de respuesta a incidentes de seguridad podremos recuperarnos mejor en caso de sufrir un incidente. Y los perjuicios para nuestra empresa y nuestros clientes serán menores.

Modelos

Aquí tienes los modelos para notificar una brecha de seguridad tanto a la AEPD como al afectado:


modelo-notificacion-aepd

Modelo Notificación AEPD

 


modelo-notificacion-afectado

Modelo Notificación Afectado

 

¿Ya conoces qué pasos tienes que seguir en caso de sufrir una brecha de seguridad? Si te ha quedado alguna duda… ¡coméntame!

¿Necesitas cumplir la LOPD?

Notificación de brechas de seguridad de los datos en el RGPD
4.7 (93.85%) 13 votos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.