Cuando pienso en Brechas de Seguridad no puedo evitar que pase por mi mente un trozo de película, normalmente estadounidense de los años 80, de gente corriendo para un lado y para el otro como pollo sin cabeza, de manera histérica, mientras el protagonista empieza a sudar como si hubiera corrido una maratón, sentado delante de un ordenador.
Y es que la verdad, las palabras BRECHAS DE SEGURIDAD, imponen y dan mucho miedo, pero no por ello las tenemos que ignorar, y a veces es la diferencia entre un buen profesional y uno que no lo es.
Pero ¿Qué es una Brecha de Seguridad?
El Reglamento General Europeo de Protección de Datos (RGPD) las define como todas aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Por lo que en el ámbito de nuestro despacho podrían ser:
- Perdida de un pendrive, de un portátil, de una tablet o de un móvil donde tuviéramos datos de nuestros propietarios (ahora estoy pensando en Whastsapp).
- Perdida de la documentación que nos han traído la Comunidad de Propietarios donde existían datos de carácter personal
- Hackeo informático, donde nos secuestran los datos, como por ejemplo el famoso y que a más de uno le ha pasado, Cryptolooker.
- Un siniestro en el Despacho, como un robo, un incendio, una inundación, que haya destruido, parte de nuestros datos (aunque tengamos una copia de seguridad en la nube que no la haya afectado)
- Que aparezca esparcida por la calle, documentación de nuestro Despacho, que habíamos tiramos nosotros anteriormente con una bolsa de basura bien cerrada, pensando que en el vertedero las destruirían como el resto de basura (esto ha pasado porque yo lo he visto).
- El acceso no autorizado de un empleado desdichado a datos personales para luego emplearlo en su beneficio.
Y ¿Qué debemos hacer si tenemos una brecha de seguridad?
Pues tal y como nos dice al Ley, tenemos 72 Horas, para ponerlo en conocimiento a la Agencia Española de Protección de Datos. Si, lo habéis leído bien, antes de las 72 horas desde el conocimiento de la brecha de seguridad lo tenemos que comunicar a la Agencia Española de Protección de Datos, y NO hay excusas, NO hay prorroga del tiempo. Y si además esta brecha de seguridad entraña un alto riesgo para los derechos y libertades de los usuarios, a parte de notifícalo a la AEPD, se tendrá que comunicar a los afectados sin demora alguna y con un lenguaje sencillo, conciso y transparente.
Se que en este punto a más de uno se le acaba de caer el boli al suelo, tiene los ojos fijos en la pantalla como platos y la boca abierta y pensando todas aquellas veces que lo más seguro tuvieron una brecha de seguridad y que no lo pusieron en conocimiento y que esto os supera. Pues tranquilos, no os asustéis, esto se puede arreglar elaborando un sencillo procedimiento de respuestas a incidentes.
¿Y en que consiste este “sencillo” procedimiento de respuestas a indecentes?
Como todo procedimiento o proceso consta de unos pasos.
- Detención e Identificación: Son los mecanismos que permiten a nuestro despacho identificar una brecha de seguridad
- Análisis y Clasificación. Donde determinaremos el tipo de brecha de seguridad, el alcance de la brecha de seguridad.
- Poner en marcha el Plan de Actuación. Donde ponemos las medidas oportunas para solventar la brecha de seguridad y procedemos a la notificación de la brecha de seguridad a la Agencia Española de Protección de Datos.
- Seguimiento y cierre.
En futuros post os detallaré que es lo que hay que poner en la notificación a la Agencia Española de Protección de Datos.
Y por ultimo me gustaría contestar a la siguiente pregunta: Si la brecha de seguridad la realiza la Comunidad de Propietarios ¿Lo debe notificar el Presidente de la Comunidad o nosotros como Administradores de Fincas?
Pues… Depende ¿Os acordáis que debe existir un contrato entre Responsable de Tratamiento (la Comunidad) y Encargado de Tratamiento (Administrador de Fincas)? Pues es en ese contrato donde se indica específicamente quien tiene que realizar la notificación de la brecha de seguridad.
Y por último un consejo que me dice mi abuela: “Más vale prevenir que curar” por lo que os pongo un video de INCIBE, donde da unos consejos para evitar algunas brechas de seguridad
Y si queréis estar a la ultima, SUSCRÍBETE a mi Newsletter: «Protección de Datos y Administradores de Fincas»
Y por supuesto, si alguna vez habéis tenido una brecha de seguridad y la queréis compartir, lo podéis hacer poniéndolo en Comentarios.