La ciberseguridad es una preocupación cada vez mayor para las empresas de todos los tamaños. Los ataques cibernéticos son cada vez más sofisticados y pueden tener un impacto devastador en las empresas, desde la pérdida de datos hasta el cierre de negocios.

La Agencia Española de Protección de datos (AEPD) define una brecha de datos personales como un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.

El artículo 33 del RGPD impone a los responsables del tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas. Además, cuando el riesgo sea alto el responsable también deberá comunicar la brecha a las personas afectadas conforme al artículo 34 del RGPD.

Ahora bien, ¿cómo tenemos que hacer esta notificación? Seguramente, hay muchos pequeños negocios que tienen el tema de la protección de datos externalizado con alguna empresa, pero es bueno conocer qué pasos hay que seguir.

Comunicar a la autoridad competente en cuanto se tenga conocimiento y en un máximo de 72 horas (formulario online en la AEPD – sede electrónica)  ¿Qué debes comunicar?

• Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
• Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del que pueda obtenerse más información.
• Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
• Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Una vez notificada una brecha de datos personales a la Autoridad de Control, el responsable de tratamiento ha de estar preparado para recibir y atender los posibles requerimientos, órdenes o comunicaciones que la AEPD pueda realizarle electrónicamente en relación con la brecha de datos personales notificada. Para ello deberá prever los medios técnicos necesarios para poder acceder de forma rápida y ágil a estas comunicaciones.

 En caso de recibir una orden de comunicación a los afectados, el responsable de tratamiento dispondrá del plazo indicado en esa orden para confirmar a la Agencia su ejecución a través del registro electrónico. Con carácter general el plazo para la confirmación será de 30 días, aunque podría acortarse en función del nivel de riesgo.

Si hay que comunicar a los afectados, el responsable deberá hacerlo ‘lo antes posible’; salvo que sea por orden de la AEPD que entonces tienes 30 días. La comunicación a las personas afectadas se realizará en un lenguaje claro y sencillo, con el siguiente contenido mínimo:

• • Datos de contacto del Delegado de Protección de Datos, o en su caso, del punto de contacto en el que pueda obtenerse más información.
  • Descripción general del incidente y momento en que se ha producido.
  • Las posibles consecuencias de la brecha de datos personales.
  • Descripción de los datos e información personal afectados.
  • Resumen de las medidas implantadas hasta el momento para controlar los posibles daños.
  • Otras informaciones útiles a los afectados para que puedan proteger sus datos o prevenir posibles daños.

Con el objetivo de ayudar en la toma de decisiones, la AEPD ofrece la herramienta ASESORA BRECHA.

Para evitar tener que pasar por estas situaciones en la Oficina Acelera pyme del COIT tenemos una taller programado el día 27 en formato webinar titulado “Ciberseguridad: ¿están tus datos de empresa críticos protegidos? Este taller práctico está dirigido a pymes y autónomos que quieran aprender a evaluar la ciberseguridad de su empresa y tomar medidas para mejorarla.