Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Comunica-Brecha RGPD, la herramienta que te asesora ante una brecha de seguridad

Fecha de publicación 22/06/2021
Autor
INCIBE (INCIBE)
Candado abierto

Las empresas y autónomos deben enfrentarse en su día a día a situaciones que ponen en riesgo la continuidad de su negocio. Estas amenazas digitales pueden atenazar a la empresa y afectar de forma contundente a su correcto funcionamiento y viabilidad a corto y medio plazo.

Entre las amenazas más graves a las que se pueden enfrentar se encuentran las brechas de seguridad. Tras la entrada en vigor del RGPD y de la LOPDGDD, una brecha de seguridad que ponga en riesgo la integridad de los datos almacenados por la empresa, puede suponer diversos casos, como la notificación y la imposición de sanciones económicas por parte de las entidades encargadas de velar por la protección de los datos personales, como es el caso de la Agencia Española de Protección de Datos (AEPD). Sin embargo, no todas las pymes y autónomos saben cómo actuar y notificar a los afectados en caso de sufrir una brecha de seguridad.

Comunica-Brecha RGPD y formulario de notificación de brechas

Comunica-Brecha RGPD es una herramienta creada por la AEPD, intuitiva y fácil de usar, ya que guía al titular o responsable de datos de la empresa a través de una serie de preguntas sobre las características del incidente; es decir, tras facilitar estos detalles proporciona una serie de acciones a realizar y ayuda a la toma de decisiones. La AEPD incide en qué ningún tipo de información aportada por el responsable o titular de la base de datos afectada en esta herramienta, se almacena o permite la identificación del afectado. De forma análoga, un nuevo formulario para comunicar incidentes: "Brechas de datos personales", disponible en la sede electrónica de la AEPD, simplifica la comunicación de las brechas de seguridad.

El primer paso, una vez se han leído las instrucciones, es indicar el sector de actividad al que se dedica la empresa de entre 11 opciones, que van desde la sanidad o publicidad hasta los servicios financieros, entre otros.

El segundo paso es señalar los detalles sobre la brecha de seguridad, como el origen del incidente o la naturaleza del mismo, es decir, si fue intencionado, accidental, de origen desconocido o provocado por un ciberincidente.

Posteriormente, se indican las consecuencias provocadas por el incidente de seguridad sobre la estructura de los datos y su consistencia, el grado de afectación o si han sufrido alteración que imposibilite su uso o su disponibilidad.

También es necesario incluir el tipo de datos que se han visto afectados por la brecha de seguridad (personales, financieros, de geolocalización, privados o de salud, entre otros), y si pertenecen a personas o colectivos que requieren de una especial protección, como es el caso de menores y víctimas de violencia de género o en riesgo de exclusión social, así como el número aproximado de personas afectadas.

Por último, se debe introducir la fecha en la que se detectó la brecha de seguridad y la del inicio del incidente.

Con toda la información proporcionada por el responsable o titular en las cuestiones planteadas, la AEPD emite un dictamen no vinculante sobre las posibles acciones a realizar, teniendo en cuenta la información solicitada. Este dictamen se hace en base a lo establecido en el artículo 34 del Reglamento General de Protección de Datos:

  • Informar de la brecha de seguridad a las personas afectadas.
  • No informar de la brecha de seguridad, ya que la información expuesta no es importante.
  • Con la información proporcionada no es posible determinar el riesgo.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad