accesskey_mod_content

El CCN col·labora en una guia de l'AEPD per gestionar i notificar les fallides de seguretat segons el Reglament

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

20 juny 2018

Logo CCN-CERT

El Reglament General de Protecció de Dades (RGPD) defineix les fallides de seguretat de les dades personals com aquells incidents que ocasionen la destrucció, pèrdua o alteració accidental o il·lícita de dades personals, així com la comunicació o accés no autoritzat als mateixos.

L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat la ‘Guia ‘Guia per a la gestió i notificació de bretxes de seguretat’ (Obre en nova finestra) al costat d'ISMS Forum i en col·laboració amb el Centre Criptològic Nacional (CCN) i INCIBE. L'objectiu d'aquest document és oferir a les organitzacions tant recomanacions preventives com un pla d'actuació, de manera que coneguin com evitar-les i com procedir en cas que es produeixin.

Amb anterioritat a l'aplicació del RGPD, l'obligació de notificar a l'Agència les bretxes de seguretat que poguessin afectar a dades personals se cenyia exclusivament a operadors de serveis de comunicacions electròniques i prestadors de serveis de confiança. Des del passat 25 de maig, aquesta obligació passa a ser aplicable a qualsevol responsable d'un tractament de dades personals, la qual cosa subratlla la importància que totes les entitats coneguin com gestionar-les.

D'acord amb el Reglament, quan el responsable del tractament tingui coneixement que s'ha produït una bretxa de la seguretat de les dades personals ha de notificar-ho sense dilació a l'autoritat de control competent, i a tot tardar en les 72 hores següents a haver tingut constància d'ella. Aquesta notificació a l'Agència ha de realitzar-se tret que sigui improbable que aquesta bretxa de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.

Si la bretxa de seguretat comporta un alt risc per als drets i llibertats de les persones (com, per exemple, l'accés il·lícit a usuaris i contrasenyes d'un servei), a més de la comunicació a l'autoritat de control, el responsable del tractament deu, addicionalment, comunicar als afectats la bretxa de seguretat amb llenguatge clar i senzill i de forma concisa i transparent.

La ‘Guia per a la gestió i notificació de bretxes de seguretat’ va dirigida a responsables de tractaments de dades personals amb l'objectiu de facilitar l'aplicació del RGPD quant a l'obligació de notificar a l'autoritat competent i, si escau, als afectats, de manera que la notificació a l'autoritat competent es faci pel canal adequat, contingui informació útil i precisa, i s'adeqüi a les noves exigències del RGPD. Per elaborar el document també s'ha comptat amb la participació de nombrosos professionals i experts del sector, recollint l'experiència i coneixement d'empreses que tenen implantats procediments de gestió d'incidents de seguretat.

Aquesta guia pretén cobrir l'ampli ventall del teixit empresarial espanyol, tant pimes com a grans empreses i, de la mateixa manera, pot ser d'ajuda als responsables i encarregats de tractaments de les Administracions Públiques involucrats en les tasques de gestió de les bretxes de seguretat.

El document està estructurat en cinc grans blocs: el primer està dedicat a la detecció i identificació de bretxes de seguretat, incloent detalls sobre com ha d'estar preparada l'organització; el segon inclou un apartat dedicat al pla d'actuació, en el qual es presenten els aspectes bàsics sobre com procedir davant un incident; a continuació s'ofereixen detalls sobre com analitzar-ho amb precisió i, finalment, s'aprofundeix en el procés de resposta i la notificació de la mateixa a l'autoritat de control.

Finalment, la notificació d'una fallida de seguretat no implica la imposició d'una sanció de forma directa, ja que és necessari analitzar la diligència de responsables i encarregats i les mesures de seguretat aplicades.

El llançament de la ‘Guia per a la gestió i notificació de bretxes de seguretat’ completa els manuals d'ajuda que l'Agència Espanyola de Protecció de Dades ha presentat per facilitar l'adaptació de les organitzacions al RGPD, entre els quals es troben el Llistat de compliment normatiu i les guies per a Responsables de tractaments de dades personals, Compliment del deure informar, Elaboració de contractes entre responsables i encarregats, Anàlisis de riscos i Avaluacions d'impacte, a més de l'eina Facilita_RGPD per a empreses que tractin dades d'escàs risc.

Font original de la notícia(Obre en nova finestra)
 

  • Seguretat