¿QUÉ HACER FRENTE A UN HACKEO?

0
4310

Según el Reglamento General de Protección de Datos (RGPD) las “brechas de datos personales” son violaciones de la seguridad que produzcan la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. No se incluyen los supuestos en donde no afecten a datos personales ya que no existe una vulneración en las libertados y derechos de una persona física. Asimismo, no en todos los casos donde exista una vulneración de la normativa de protección de datos se considera una brecha de datos personales.

Podemos encontrar ejemplos sobre brechas de datos personales que fueron adoptadas por el Comité Europeo de Protección de Datos en las Directrices 01/2021.

Previo a que suceda un incidente, tanto los responsables como los encargados del tratamiento deben identificar posibles los riesgos a los que están sujetos esos datos personales y cuáles serán las medidas para aminorar los riesgos, como lo establece el RGPD en los art. 24, 25, 32 y 35. De la misma forma, se establece un sistema de garantías en miras a que se realicen maniobras para la protección de dichos datos, las mismas son: la anonimización, seudonimización, tratamiento federado, proceso de desvinculación de datos.

En el caso que se suceda una brecha de seguridad de datos personales, se debe documentar y recopilar todo el proceso con la debida información ya que se deberá adjuntar al registro de incidentes que deben tener todos los responsables. Se debe establecer un proceso por el cual se defina como se notificará a la Agencia Española de Protección de Datos (AEPD) y a los afectados. El responsable, encargado y delegado van a trabajar y colaborar en el caso de producirse una brecha, ya que el responsable deberá evaluar las posibles consecuencias de una brecha, notificar a la AEPD y a los afectados en caso de producirse una brecha; el encargado deberá informar al responsable si toma conocimiento de la existencia de una brecha, ayudar al responsable y ejercer las demás obligaciones establecidas en el contrato que lo vincula con el responsable; por último, en cuanto al delegado de protección de datos, este deberá informar y aconsejar al responsable como al encargado, cooperar y actuar como punto de contacto con la AEPD.

En cuanto al ámbito normativo encontramos, a nivel Europeo: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016- Artículos 33 y 34, DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016– Artículos 30 y 31; a nivel Nacional: Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto Ley 12/2018, Real Decreto-ley 12/2018, de 7 de septiembre (NIS), Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD),  Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas,  Ley 8/2011, de 28 de abril, Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica – Artículos 24, 36 y Disposición Adicional cuarta, Ley 9/2014, de 9 de mayo, General de Telecomunicaciones – Artículos 41 y 44, REGLAMENTO (UE) 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de brechas de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que regula la Gestión de incidentes de ciberseguridad que afecten a la red de Internet.

Según el art. 33 RGPD, se debe notificar dentro de las 72hs. a la AEPD por parte del Responsable de los datos personales, quien debe documentar toda brecha de datos personales. Dichas 72hs se cuentan desde que el Responsable tuvo conocimiento de dicho incidente. En el caso que no se pudiese cumplimentar dentro de ese plazo, se puede presentar de forma gradual y sin dilación.

Por otra parte, desde el primer momento de la detección de la brecha de seguridad, será indispensable adoptar todas las medidas organizativas y técnicas dirigidas a la recuperación de la información, aquí el objetivo será restaurar en la medida de lo posible el sistema de información afectado y volver al estado anterior al ataque. Es por esto que como parte del plan de gestión de seguridad de la información se cuente siempre con un sistema de backup o copias de seguridad.

Los incidentes de seguridad en los sistemas de información suelen afectar distintas esferas del negocio o entidad, es por esto que es importante adoptar medidas de carácter organizativo dirigidas a dar continuidad al negocio sin que ello implique que se borren las huellas del incidente, pues será de gran importancia recopilar toda la información respecto de lo sucedido para implementar nuevas medidas de seguridad y prevenir eventos similares a futuro

Así mismo, el manejo de la situación deberá responder al segmento de personas afectadas. En el caso de los clientes la respuesta debe ser dirigida a dar contención frente al ataque y a promover la confianza hacia el negocio, para lo cual será indispensable mostrar prestancia para atender los requerimientos de los clientes, transparencia y diligencia en relación con las averiguaciones y medidas que se tomarán para evitar un perjuicio mayor. De acuerdo con el RGPD, las violaciones de la seguridad deben notificarse a los interesados, sin embargo, esta notificación no será necesaria si: se han implementado medidas de seguridad apropiadas, si se han adoptado medidas para que no se materialice el riesgo elevado y si la comunicación supone un esfuerzo desproporcionado, en caso contrario, debe informarse al interesado que ha habido una violación a la seguridad de sus datos.

En el mismo orden de ideas, es indispensable que el segmento de trabajadores esté capacitado e informado para poder atender y dar respuesta a los clientes, para lo cual debe haber una respuesta unificada enfocado a promover la confianza con el cliente y al mismo tiempo generar conciencia en los trabajadores.

En suma, el manejo frente a un ataque de hackeo será adecuado mientras se adopten las medidas organizativas, legales y técnicas y se cuente con la asesoría y el acompañamiento adecuado, siempre con miras a proteger los derechos de los interesados y a propender por la continuidad del negocio y recuperación de los sistemas de información afectados.

Fotos: TheDigitalArtist, vickygharat y Tumisu

DEJA UNA RESPUESTA

Por favor, deja tu comentario
Por favor, introduce aquí tu nombre