Skip to main content
Security breaches and GDPR: What's new

Incidències de seguretat i RGPD: Novetats

La gestió de les incidències de seguretat és, sens dubte, alguna de les novetats més importants del RGPD. Fa un any, ja publicàvem un post on explicàvem què fer en cas que es produïssin en la teva empresa o startup, però certament la realitat d’aquest últim any requereix una actualització del contingut.

Què fer davant d’una incidència de seguretat?

Les obligacions bàsiques davant de qualsevol incidència de seguretat, d’acord al RGPD i tal com recomanàvem al novembre de 2019, són tres:

  1. Registrar i gestionar internament la incidència de seguretat. Això requereix disposar d’un protocol intern per tal que les incidències de seguretat siguin comunicades a les persones responsables i aquestes documentin quins passos s’han seguit per tal de minimitzar el seu impacte. Aquest últim punt és molt important per què algunes vegades les empreses no tenen una capacitat real i efectiva per evitar un atac o una incidència de seguretat, però sí per decidir com responen davant seu. Aquest és un factor que l’AEPD valora molt en el cas que la incidència acabi en un procediment sancionador.
  1. Analitzar si la incidència s’ha de comunicar a l’AEPD. Aquesta és una de les novetats importants del RGPD i és que s’introdueix l’obligació de comunicar les incidències a l’AEPD; l’única excepció és que sigui improbable que aquesta incidència produeixi riscos per a les persones afectades (per exemple si pot demostrar-se que les dades estaven encriptades). En la resta de casos la comunicació és obligatòria en un termini de 72 hores des que es va tenir coneixement de la incidència. Aquest no és un factor qualsevol per què moltes vegades les empreses coneixen la incidència fins i tot mesos després des que s’hagi produït.
  1. Analitzar si cal comunicar la incidència a les persones afectades. En els casos més greus (robatori de credencials o incidències que puguin implicar suplantació d’identitat) es requereix la comunicació als afectats.

En relació a aquests dos últims i importants punts, afegim aquí una novetat important i és la recent publicació per part de l’AEPD d’un qüestionari que permet decidir si és necessària la comunicació a la pròpia AEPD i als afectats. Responent unes breus preguntes podràs tenir una orientació de com actuar.

Incidències de seguretat

Hi ha sancions per no comunicar incidències de seguretat?

Al novembre de 2019 no constaven encara a Espanya sancions per no comunicar les incidències de seguretat. Al juliol de 2020 es va publicar una sanció de 3600 € per la manca de comunicació d’una incidència de seguretat a l’AEPD.

La sanció era de 6000 € però es va reduir ja que el responsable va pagar de manera voluntària. El cas concret es tracta d’un atac informàtic a una empresa a través del qual els atacants van obtenir les dades personals, com el correu electrònic, dels clients d’aquesta empresa, enviant-los correus per obtenir més informació seva amb fins fraudulents.

Aquests atacs són cada vegada més freqüents.

¿Incidències de seguretat i COVID19?

Aquest any 2020 serà recordat lamentablement pel COVID19; entre moltes altres conseqüències, una d’elles és que les empreses han confiat la seva continuïtat, en moltes ocasions, a “nous” recursos digitals i al teletreball.

Ambdos casos, amb independència dels seus avantatges, poden ser font de “noves” incidències de seguretat.

Nous proveïdors i eines

Com diem, davant la impossibilitat de realitzar la majoria de tasques de manera presencial, les empreses han implementat noves eines per seguir treballant: vídeo trucades, sistemes de signatura electrònica de documents, contractes, etc.

Aquestes eines, en la seva immensa majoria, són gestionades per nous proveïdors per a les empreses i si posem “a les mans” part dels nostres processos productius i de les dades personals que en ells fem servir, hem de ser conscients que les incidències els poden ocórrer a ells.

Per això, és molt important assegurar-te de la política de comunicació de incidències dels proveïdors als seus clients, perquè aquests al seu torn, compleixin amb els requisits del RGPD.

Teletreball

El fenomen del teletreball ha experimentat un creixement sense precedents aquest 2020.

Amb els seus innegables avantatges, el teletreball no està exempt de nous riscos: l’accés dades personals des dels domicilis dels treballadors, amb mesures de seguretat no controlades per les empreses, és sens dubte el major d’ells.

Qualsevol incidència ocorreguda en aquestes circumstàncies, ha de ser coneguda i controlada per l’empresa i ser tractada com si s’hagués produït a la pròpia empresa.

Les incidències de seguretat són un dels nous reptes del RGPD i com gestionar-les és sens dubte una situació que les empreses han d’abordar de manera eficient i d’acord a la seva estructura i organització.

Si necessites revisar o implementar la teva protocol intern de gestió de incidències de seguretat, contacta amb nosaltres.