Las brechas de seguridad en las empresas, el objetivo del Delegado de Protección de Datos (DPO).

por

Brechas de seguridad en las empresas

Una de las novedades que aparecen con el nuevo Reglamento General de Protección de Datos (RGPD) es la figura del Delegado de Protección de Datos (DPO), que se muestra como la persona encargada de prevenir, detectar y solucionar posibles brechas de seguridad en las empresas.

Así lo establece el RGPD en sus artículos 33 y 34, que indican cómo hay que actuar ante una brecha de seguridad, notificándola y comunicándola tanto a la Agencia Española de Protección de Datos (AEPD) como a las personas afectadas por dicha violación de la seguridad.

De no ser así, la empresa afectada podría ser sancionada con una importante multa económica, y este fue el caso de RTVE, que fue multada con 6.000 euros por la AEPD por una brecha de seguridad provocada por la pérdida de 6 pendrives que contenían datos personales de 11.000 trabajadores y ex trabajadores.

Dicho esto, podríamos decir que evitar y actuar correctamente ante las brechas de seguridad en las empresas es la prioridad del Delegado de Protección de Datos.

Quizá te interesa:

¿Qué es un Delegado de Protección de Datos (DPO) y qué papel desempeña en una empresa? 

¿Cómo actuar ante una brecha de seguridad?

Gestionar la brecha de seguridad por el DPO

Una brecha de seguridad es un error o fallo en el funcionamiento de los sistemas de información que utilizan las empresas, y que podría provocar que personas externas sin ninguna autorización pudieran acceder a la información almacenada en dichos sistemas. Uno de los mayores problemas que pretende evitar el RGPD.

Y sin duda lo más complicado de una brecha de seguridad es detectarla, y por ello es importante mantenerse atento en todo momento, así como realizar investigaciones a fondo que te permitan detectar la brecha lo antes posible, para tomar las medidas adecuadas y poner solución al problema antes de que sea tarde.

Una vez detectada, el encargado de notificar la brecha de seguridad a la AEPD y a los afectados es el Delegado de Protección de Datos, cuya notificación debe realizarse en un máximo de 72 horas desde que se detectó la violación de seguridad. De no ser así, la empresa que ha sufrido la brecha de seguridad, podría enfrentarse a sanciones millonarias que podrían llegar a poner en riesgo su viabilidad económica.

Al notificar la brecha de seguridad a la AEPD, también hay que informarle de las medidas que vamos a tomar para ponerle solución, y para ello hay que realizar un informe detallado que nos deje claro cómo vamos a actuar. Al mismo tiempo, el DPO también tendrá que asesorar a la empresa de cómo tendrá que comunicar a las personas afectadas por el fallo de seguridad.

Quizá te interesa:

¿Hay una brecha de seguridad en tu empresa? Consejos para actuar sin demora. 

¿Cómo debe actuar el Delegado de Protección de Datos ante una brecha de seguridad?

El DPO y su actuación ante una brecha de seguridad

Tal y como establece el artículo 33 del RGPD, el DPO debe notificar la brecha de seguridad a la AEPD, que es la autoridad de control en España para estos casos, cuando esta suponga un riesgo para los derechos y libertades de las personas físicas, en un plazo máximo de 72 horas desde que se detectó la violación de seguridad.

Detectada la brecha de seguridad, el DPO de la empresa debe registrarla e indicar el lugar, la fecha y la hora de la detección. Asimismo, también deberá tomar nota y registrar los equipos y sistemas que hayan sido afectados.

Hecho esto, deberá determinar si la brecha de seguridad supone un riesgo para los derechos fundamentales y libertades de las personas físicas, como en los siguientes casos:

  • La brecha de seguridad podría provocar daños y perjuicios físicos.
  • Puede privar a las personas físicas del ejercicio de sus derechos o del control de sus datos personales, debido a que se han revelado circunstancias como su origen étnico, filiación política, militancia sindical, vida sexual, datos genéticos, etc.
  • Los datos podrían revelar situaciones personales, como la situación económica, condiciones de salud, etc.
  • Los datos sean de personas vulnerables, como menores de edad, personas con discapacidad, etc.
En cuanto a la notificación a las personas afectadas, el DPO no está obligado a informarles si se dan las siguientes situaciones:
  • Previamente a la brecha de seguridad, se tomaron las medidas necesarias para proteger a las personas, como podría ser el caso de un cifrado de datos.
  • Cuando existiese posibilidad de materializar el riesgo.
  • Cuando la notificación individual implique un esfuerzo desproporcionado, y esté en disposición de hacerse una comunicación pública.
Desde Dataeraser nos ponemos a tu disposición para tratar de prevenir posibles brechas de seguridad en las empresas, a través de la recogida y destrucción de documentos, con la que evitamos que una tercera persona pudiera acceder a los datos almacenados de terceros en documentos inservibles.
También te ofrecemos nuestro servicio de destrucción y reciclaje de material informático, eliminando de forma definitivamente todos los datos almacenados en un ordenador, disco duro, USB, etc., así como la digitalización de documentos, que es clave para aumentar la seguridad de las empresas.

Deja un comentario