QUÉ SON Y CÓMO ACTUAR ANTE UNA BRECHA DE SEGURIDAD
Cuando hay un acceso no autorizado a alguna información, normalmente es porque un intruso rompe los mecanismos de seguridad; se produce una brecha de seguridad entendida como un incidente que permite el acceso no autorizado a datos informáticos, aplicaciones, redes o dispositivos.
Las leyes nos explican que hacer en caso de detectar una brecha de seguridad, con riesgo para los derechos y libertades de personas físicas:
Obligación de comunicar el incidente a todos los afectados, por cualquier medio: SMS, email, mensajería instantánea, correo postal,…
En caso de una cantidad desproporcionada de afectados se puede optar por una comunicación pública, por grupos, entidades, etc.
Esta comunicación debe constar de varios puntos:
PRIMERO: la naturaleza, tiene que dar respuesta sobre qué ha ocurrido (describir si se trata de un ciberincidente, ciberataque, envío de datos por error, pérdida de documentación/dispositivo, etc); a qué datos ha afectado (especificar si concierne a datos básicos, de contacto, email, usuario y contraseña, copias de DNI o pasaporte, contratos, facturas, perfiles, localizaciones, etc.);y de qué manera (concretar si es por un acceso ilegítimo, datos extraídos, revelados a terceros o públicos, alterados, eliminados, inservibles o no disponibles, etc.)
SEGUNDO: las consecuencias, el impacto que puede tener sobre las personas (menoscabo en sus derechos fundamentales, imposibilidad de ejercer otros derechos, suplantación de identidad, imposibilidad de prestar correctamente un servicio, fraude, discriminación, daños físicos o psicológicos, entre otras); y las circunstancias agravantes (el destinatario de sus datos es la persona denunciada por usted, la contraseña comprometida se usa en otros servicios, los datos se han publicado de forma abierta en internet, etc.)
TERCERO: medidas tomadas y propuestas por el responsable del tratamiento para solucionar la brecha y minimizar las consecuencias sobre las personas.
CUARTO y último: la identificación comercial o pública del responsable del tratamiento y los datos de contacto del Delegado de Protección de Datos (DPD) u otro medio de contacto para ampliar la información.