accesskey_mod_content

El CCN col·labora en una guia de l'AEPD per a gestionar i notificar les fallides de seguretat segons el Reglament

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

20 juny 2018

Logo CCN-CERT

El Reglament General de Protecció de Dades (RGPD) definix les fallides de seguretat de les dades personals com aquells incidents que ocasionen la destrucció, pèrdua o alteració accidental o il·lícita de dades personals, així com la comunicació o accés no autoritzat als mateixos.

L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat la ‘Guia ‘Guia per a la gestió i notificació de bretxes de seguretat’ (Obri en nova finestra) al costat d'ISMS Forum i en col·laboració amb el Centre Criptològic Nacional (CCN) i INCIBE. L'objectiu d'este document és oferir a les organitzacions tant recomanacions preventives com un pla d'actuació, de manera que coneguen com evitar-les i com procedir en cas que es produïsquen.

Amb anterioritat a l'aplicació del RGPD, l'obligació de notificar a l'Agència les bretxes de seguretat que pogueren afectar a dades personals se cenyia exclusivament a operadors de servicis de comunicacions electròniques i prestadors de servicis de confiança. Des del passat 25 de maig, esta obligació passa a ser aplicable a qualsevol responsable d'un tractament de dades personals, la qual cosa subratlla la importància que totes les entitats coneguen com gestionar-les.

D'acord amb el Reglament, quan el responsable del tractament tinga coneixement que s'ha produït una bretxa de la seguretat de les dades personals ha de notificar-ho sense dilació a l'autoritat de control competent, i a tot tardar en les 72 hores següents a haver tingut constància d'ella. Esta notificació a l'Agència ha de realitzar-se llevat que siga improbable que aquesta bretxa de la seguretat constituïsca un risc per als drets i les llibertats de les persones físiques.

Si la bretxa de seguretat comporta un alt risc per als drets i llibertats de les persones (com, per exemple, l'accés il·lícit a usuaris i contrasenyes d'un servici), a més de la comunicació a l'autoritat de control, el responsable del tractament deu, addicionalment, comunicar als afectats la bretxa de seguretat amb llenguatge clar i senzill i de forma concisa i transparent.

La ‘Guia per a la gestió i notificació de bretxes de seguretat’ va dirigida a responsables de tractaments de dades personals amb l'objectiu de facilitar l'aplicació del RGPD quant a l'obligació de notificar a l'autoritat competent i, si escau, als afectats, de manera que la notificació a l'autoritat competent es faça pel canal adequat, continga informació útil i precisa, i s'adeqüe a les noves exigències del RGPD. Per a elaborar el document també s'ha comptat amb la participació de nombrosos professionals i experts del sector, arreplegant l'experiència i coneixement d'empreses que tenen implantats procediments de gestió d'incidents de seguretat.

Esta guia pretén cobrir l'ampli ventall del teixit empresarial espanyol, tant pimes com a grans empreses i, de la mateixa manera, pot ser d'ajuda als responsables i encarregats de tractaments de les Administracions Públiques involucrats en les tasques de gestió de les bretxes de seguretat.

El document està estructurat en cinc grans blocs: el primer està dedicat a la detecció i identificació de bretxes de seguretat, incloent detalls sobre com ha d'estar preparada l'organització; el segon inclou un apartat dedicat al pla d'actuació, en el qual es presenten els aspectes bàsics sobre com procedir davant un incident; a continuació s'oferixen detalls sobre com analitzar-ho amb precisió i, finalment, s'aprofundix en el procés de resposta i la notificació de la mateixa a l'autoritat de control.

Finalment, la notificació d'una fallida de seguretat no implica la imposició d'una sanció de forma directa, ja que és necessari analitzar la diligència de responsables i encarregats i les mesures de seguretat aplicades.

El llançament de la ‘Guia per a la gestió i notificació de bretxes de seguretat’ completa els manuals d'ajuda que l'Agència Espanyola de Protecció de Dades ha presentat per a facilitar l'adaptació de les organitzacions al RGPD, entre els quals es troben el Llistat de compliment normatiu i les guies per a Responsables de tractaments de dades personals, Compliment del deure informar, Elaboració de contractes entre responsables i encarregats, Anàlisis de riscos i Avaluacions d'impacte, a més de la ferramenta Facilita_RGPD per a empreses que tracten dades d'escàs risc.

Font original de la notícia(Obri en nova finestra)
 

  • Seguretat