Tal y cómo se indica en <Notificación de brechas de seguridad>, las organizaciones están sometidas a diversas obligaciones de notificación de brechas de seguridad, la que engloba a todos los sectores, sería el RGPD de la UE, Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en España.
Las empresas y organizaciones tienen la obligación de notificar cualquier incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de los datos personales de los individuos. Esta notificación debe realizarse a la Agencia Española de Protección de Datos (AEPD) dentro de un plazo determinado, generalmente 72 horas desde que se tiene conocimiento del incidente. Además, si la brecha de seguridad supone un alto riesgo para los derechos y libertades de las personas afectadas, estas también deben ser informadas de manera adecuada y oportuna.
ABC
Valoración de la necesidad de comunicar a la AEPD y a los afectados
Realización de análisis para identificar el impacto que la brecha de seguridad pueda tener sobre los derechos y libertades de las personas físicas afectadas, considerando lo dispuesto en el artículo 33 del RGPD, el artículo 34 del RGPD y la Guía para la notificación de brechas de datos personales editada por la AEPD.
Se deberá tener en cuenta también:
- Tipología de brecha
- Número de afectados,
- Tipología de datos implicados en el incidente
- Tipología del incidente causa de la violación de los datos
- Dificultad o facilidad en la identificación de las personas afectadas;
- Consecuencias para los derechos y libertades de las personas afectadas.
Se puede consultar de modo adicional y como evidencia de diligencia, el formulario propuesto por la Agencia para valorar si hay que comunicar a los afectados, para posterior evidencia en la notificación al regulador.
Una vez introducidos los datos en la herramienta Comunica-Brecha RGPD, si esta indica que hay necesidad de comunicación,
Esta guía declara: un responsable de tratamiento debe comunicar la existencia de una brecha a los afectados cuando no pueda garantizar la improbabilidad que se pueda dañar, reversible o irreversiblemente, derechos fundamentales.
Existe una tabla que modula la severidad del riesgo sobre derecho y las recomendaciones de acciones de comunicar la brecha:
Esta guía declara: un responsable de tratamiento debe comunicar la existencia de una brecha a los afectados cuando no pueda garantizar la improbabilidad que se pueda dañar, reversible o irreversiblemente, derechos fundamentales.
Existe una tabla que modula la severidad del riesgo sobre derecho y las recomendaciones de acciones de comunicar la brecha:
Modelo de Comunicación al regulador
Nº Registro.: Si aplica, XXXXXXXXXXXXXX (el que se haya facilitado por el Regulador en la primera
Notificación)
Asunto: Notificación inicial, Modificación de la Notificación Inicial (lo que aplique)
A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Si la notificación de la violación de datos es a otro regulador, modificar encabezamiento)
Don, Doña Xxxxxxx, Yyyyyyy, Zzzzzz, mayor de edad, con DNI, 123456789-X actuando en nombre y representación, como Delegad@ de Protección de Datos, de la Sociedad “XXXXXXXXXXXX S.A.” (en adelante, “La Sociedad”), con NIF X-12345678 y domicilio en Xxxxx, Calle Xxxxx nº 994, C.P. XXXX, ante esa Agencia comparezco, y como mejor proceda en Derecho, DIGO:
Si es alta:
Que, mediante el presente escrito procedo, en tiempo y forma, a dar comunicación sobre brecha de seguridad de la que hemos tenido conocimiento el día dd mm de aaaa a las hh:mm:ss.
Si es modificación:
Que, mediante el presente escrito procedo, en tiempo y forma, a dar información completa sobre la brecha de seguridad que fue comunicada a la Agencia Española de Protección de Datos (AEPD), de manera inicial, el dd de mmmmm de 20xx, con número de registro xxxxxxxxxxxxxx.
DESCRIPCION DE LOS HECHOS
PRIMERO: Notificación de la Brecha
Con fecha dd de mm de 20aa, el DPO de la Sociedad tuvo conocimiento de:
Exposición de la violación de datos acaecida
SEGUNDO: Acciones
Las acciones realizadas por la Sociedad han sido:
- Acción 1.
- Acción 2.
- Acción n.
TERCERO: Causas que propiciaron la brecha
La brecha se produjo,
Explicar las razones por la que se produjo la brecha de los datos
QUINTO: Respecto de los datos afectados
La categoría de datos expuestos fueron los siguientes:
Enumerar la tipología de los datos expuestos
El número usuarios que se vieron afectados fue de: (especificar el número exacto de afectados)
El impacto para los usuarios fue considerado (Elegir entre los grados bajo, medio y alto) y justificar razonadamente la decisión
SEXTO: Relación de Medidas de Seguridad Prexistentes a la brecha
Enumerar la relación de medidas de seguridad existentes en la Sociedad con anterioridad a la Brecha de Seguridad que motiva la violación de datos
SEPTIMO: Respecto de las medidas implementadas con posterioridad a la brecha.
Enumerar la relación de medidas de seguridad adoptadas en la Sociedad con posterioridad a la Brecha de Seguridad que motiva la violación de datos
Por todo lo expuesto anteriormente,
SOLICITO A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, que tenga por presentado este escrito, y se sirva tener por debidamente elegir lo que corresponda según la notificación [ notificada / actualidad /cerrada ] la brecha notificada inicialmente.
Es de Justicia qué pido en XXXXXXXXX, a dd de mmmmmm de 20xx.
Xxxxxx Yyyyyyyy Zzzzzzzz
Sociedad Xxxxx Yyyyyyy S.A.
Modelo de Comunicación al afectado
Como lo más habitual es notificar por el medio por que hemos obtenido captado los datos del afectado, propondremos un modelo de notificación de email
Asunto: – Información relevante sobre sus datos personales –
Le informamos de que La Sociedad ha sufrido una brecha de seguridad en sus sistemas. Como consecuencia de ello, se ha producido un acceso no autorizado a ciertos datos de algunos de nuestros clientes, entre los que Vd. se encuentra.
Sobre este incidente, de severidad (baja/media/alta), le informamos a continuación.
1.-Qué acciones la Sociedad ha llevado a cabo
Explicar las acciones realizadas.
2.-Qué información ha resultado afectada?
La información personal comprometida incluye los siguientes datos:
Enumerar los tipos de datos expuestos en la brecha
Existe la posibilidad de que esta información pueda ser utilizada para alguna de las siguientes prácticas:
- Envío de información comercial no solicitada
- Envío de comunicaciones maliciosas (malware, phishing)
- Suplantaciones de identidad en el mundo virtual
3.-Recomendaciones de seguridad.
Con carácter preventivo, le recomendamos realizar algunas comprobaciones:
- Verificar si se ha incrementado el SPAM en su cuenta de correo.
- Realizar búsquedas en las principales redes sociales para verificar si se ha podido suplantar su identidad.
4.-Cómo podemos ayudarle?
Si ha constatado alguna consecuencia que se pudiera derivar del incidente expuesto o requiere de información adicional, puede ponerlo en conocimiento de:
derechos@LaSociedad.com
5.-Otras acciones emprendidas.
La Sociedad ha puesto estos hechos en conocimiento de la Agencia Española de Protección de Datos.
La Sociedad mantiene un compromiso firme en garantizar los derechos a la privacidad y con la seguridad de los usuarios y seguimos trabajando para mejorar la seguridad de los sistemas de información afectados.
Lamentamos las molestias que esta incidencia le ha ocasionado, y quedamos a su disposición.
El DPO de la Sociedad
