Desde la entrada el vigor en mayo del RGPD, la AEPD ha recibido más de 400 notificaciones de brechas de seguridad.

De ellas, solo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional.

En el Reglamento europeo se recogen multas millonarias para las empresas que no custodien la información personal que manejan.

¿Qué son las brechas de seguridad?

Las brechas de seguridad son definidas por el propio Reglamento de Protección de Datos europeo como “violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales” que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

El principal objetivo del RGPD es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de Internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

Las brechas de seguridad pueden producirse por:

  • Fallos del sistema informático de las organizaciones
  • Incidentes inesperados
  • Robo o acceso a información por parte de cibercriminales e incluso por los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

Obligación de notificación

El RGPD exige a las empresas que manejan información personal notificar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo. Salvo que fuera improbable que la brecha de seguridad suponga un riesgo para las libertades y derechos de las personas físicas.

El responsable del tratamiento de datos además debe informar a los afectados con lenguaje sencillo y de forma transparente y concisa en caso de que el incidente implique alto riesgo para los derechos y libertades de las personas. Por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio.

El hecho de comunicar una brecha de seguridad no provoca el inicio de un procedimiento sancionador para la empresa. Ni tiene por qué terminar con una sanción.

La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento.

Principales casos de fugas de información

En las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras saberse que la cadena hotelera Marriott ha sido víctima de un acceso no autorizado a su base de datos de clientes, que incluye información de 500 millones de personas.

Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

Para fortalecer la protección de los datos personales en Europa, el nuevo Reglamento sobre privacidad ha ampliado la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

Más de 400 notificaciones de brechas de seguridad a la AEPD
4.3 (86.67%) 6 votos