{"id":3990,"date":"2019-07-03T14:31:15","date_gmt":"2019-07-03T12:31:15","guid":{"rendered":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/blog\/limite-72-horas-la-obligacion-de-reaccionar-ante-una-brecha-de-seguridad-con-el-rgpd\/"},"modified":"2019-07-03T14:31:15","modified_gmt":"2019-07-03T12:31:15","slug":"limite-72-horas-la-obligacion-de-reaccionar-ante-una-brecha-de-seguridad-con-el-rgpd","status":"publish","type":"blog","link":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/blog\/limite-72-horas-la-obligacion-de-reaccionar-ante-una-brecha-de-seguridad-con-el-rgpd\/","title":{"rendered":"L\u00edmite 72 horas: la obligaci\u00f3n de reaccionar ante una brecha de seguridad con el RGPD"},"content":{"rendered":"<p class=\"text-justify\">M\u00e1s de un a\u00f1o despu\u00e9s de que empezara a aplicarse el RGPD, cabe decir que muchos responsables del tratamiento de datos han podido lograr que sus organizaciones afronten, con \u00e9xito, la gran cantidad de cambios que ven\u00eda a exigir la implantaci\u00f3n de la nueva normativa en esta materia: est\u00e1n ofreciendo m\u00e1s informaci\u00f3n a la hora de recabar los datos, conocen los nuevos derechos que tienen los interesados, son m\u00e1s cuidadosos cuando solicitan su consentimiento, etc.<\/p>\n<p class=\"text-justify\">Sin embargo, sigue habiendo un \u00e1mbito que, en nuestra experiencia, suele estar cubierto por un manto de desconocimiento: <b><u>\u00bfc\u00f3mo reaccionar ante una violaci\u00f3n de la seguridad de los datos tratados?<\/u><\/b>.<\/p>\n<p class=\"text-justify\">Sin duda se trata de <b>un desconocimiento muy peligroso<\/b> porque -como veremos a continuaci\u00f3n- <b>el RGPD nos da un plazo muy breve para reaccionar<\/b>, uno que recuerda a una conocida pel\u00edcula que fue protagonizada por el actor Russel Crowe que, en Espa\u00f1a, se titul\u00f3 \u0093<b><i>Los pr\u00f3ximos tres d\u00edas -l\u00edmite 72 horas-<\/i><\/b>\u0094.<\/p>\n<p class=\"text-justify\">Este desconocimiento llega al extremo de <b>no tener claro en qu\u00e9 consiste una violaci\u00f3n de seguridad<\/b>.<\/p>\n<p class=\"text-justify\">Al tocar el tema, notamos que muchas de las personas con las que hemos hablado sobre esta delicada cuesti\u00f3n tienen la imagen de un \u00ab<b><i>hacker<\/i><\/b>\u00bb de pel\u00edcula, tecleando c\u00f3digo malicioso entre tinieblas con la esperanza de acceder a ordenadores ajenos.<\/p>\n<p class=\"text-justify\">Eso, desde luego, podr\u00eda ser una violaci\u00f3n de seguridad de los datos. Pero <b>existen otras muchas<\/b> <b>posibilidades <\/b>que son muy diferentes a la indicada.<\/p>\n<p class=\"text-justify\">La definici\u00f3n ya cl\u00e1sica de brecha o violaci\u00f3n de la seguridad de los datos, a grandes rasgos, es cualquier suceso que ocasione en los datos, de forma no autorizada o deseada:<\/p>\n<ul class=\"text-justify\">\n<li class=\"text-justify\"><b>Destrucci\u00f3n<\/b>.<\/li>\n<li class=\"text-justify\"><b>P\u00e9rdida<\/b>. <\/li>\n<li class=\"text-justify\"><b>Alteraci\u00f3n<\/b>. <\/li>\n<li class=\"text-justify\"><b>Comunicaci\u00f3n<\/b>. <\/li>\n<li class=\"text-justify\"><b>Acceso<\/b>. <\/li>\n<\/ul>\n<p class=\"text-justify\">El ataque de un \u00ab<b><i>hacker<\/i><\/b>\u00ab, s\u00ed, es una brecha de seguridad (acceso no autorizado). Pero tambi\u00e9n lo es, por ejemplo, enviar un correo electr\u00f3nico a cientos de destinatarios sin usar la \u00ab<b><i>copia oculta<\/i><\/b>\u00bb (en este caso ser\u00eda la comunicaci\u00f3n no autorizada de datos, en concreto la direcci\u00f3n de corrreo de los otros destinatarios). Tambi\u00e9n da igual si el evento ha afectado a soportes digitales o en papel. <b>Las posibilidades son muy variadas y hay que estar alerta para no dejar pasar una violaci\u00f3n de seguridad solo porque no la hemos reconocido como tal<\/b>.<\/p>\n<p class=\"text-justify\">Especialmente porque, como anunci\u00e1bamos arriba, el plazo para reaccionar ante la misma es muy limitado.<\/p>\n<p class=\"text-justify\"><b>El RGPD indica que tenemos 72 horas para adoptar la respuesta adecuada ante una brecha de la seguridad de los datos<\/b>. Pero \u00bfcu\u00e1l es esta respuesta?.<\/p>\n<p class=\"text-justify\">El <b>procedimiento<\/b>, sin duda, es algo complejo, y lo podemos resumir en los siguientes puntos:<\/p>\n<ul class=\"text-justify\">\n<li class=\"text-justify\">Documentar lo sucedido.<\/li>\n<li class=\"text-justify\">Adoptar medidas correctoras.<\/li>\n<li class=\"text-justify\">Si somos encargados de tratamiento, deberemos notificar la brecha al responsable sin dilaci\u00f3n.<\/li>\n<li class=\"text-justify\">En caso de que la brecha haya supuesto un riesgo para los derechos de los interesados, deber\u00e1 comunicarse la misma a la AEPD por los canales establecidos al efecto.<\/li>\n<li class=\"text-justify\">Si adem\u00e1s resulta que el evento no solo causa un riesgo para esos derechos, sino que se trata de un \u00abalto riesgo\u00bb, la comunicaci\u00f3n deber\u00e1 hacerse tambi\u00e9n a los propios interesados.<\/li>\n<\/ul>\n<p class=\"text-justify\">&nbsp;Las dudas evidentes a tener en cuenta aqu\u00ed son las siguientes:<\/p>\n<ul class=\"text-justify\">\n<li class=\"text-justify\">&nbsp;\u00bf<b>cu\u00e1l es la diferencia entre <\/b>\u00ab<b>riesgo<\/b>\u00ab<b> y <\/b>\u00ab<b>alto riesgo<\/b>\u00ab?.<\/li>\n<li class=\"text-justify\">\u00bf<b>Cu\u00e1ndo se produce cada una de estas situaciones<\/b>? (porque, como vemos, sus efectos son diferentes). <\/li>\n<\/ul>\n<p class=\"text-justify\"><b>Lo que os podemos decir en este caso es que no hay una un\u00edvoca y sencilla<\/b>.<\/p>\n<p class=\"text-justify\">Evidentemente, el riesgo va a depender de la envergadura e importancia de los datos tratados, del tipo de brecha de seguridad, de las consecuencias en caso de revelarse o alterarse dichos datos, del volumen de informaci\u00f3n del que estemos hablando, etc.<\/p>\n<p class=\"text-justify\">En otras palabras, <b>deber\u00e1 llevarse a cabo un an\u00e1lisis espec\u00edfico caso por caso, llevado a cabo por un especialista, <\/b>y todo ello, recordemos, en un plazo m\u00e1ximo de 72 horas.<\/p>\n<p class=\"text-justify\">Por supuesto, si nuestra organizaci\u00f3n ha sido lo suficientemente proactiva antes de la violaci\u00f3n de seguridad, muchos pasos de este trabajo de evaluaci\u00f3n podr\u00e1n ir m\u00e1s r\u00e1pido (por no a\u00f1adir que ser\u00e1 menos probable que nos encontremos ante muchas de las brechas de seguridad m\u00e1s habituales). Pero incluso en este caso, <b>realizar el trabajo de determinar el alcance legal de la violaci\u00f3n detectada<\/b> <b>no es algo sencillo<\/b>.<\/p>\n<p class=\"text-justify\">Por lo tanto, cuando empiece a contar el reloj de las 72 horas no tendremos tiempo para dudar o remolonear. <b>La reacci\u00f3n deber\u00e1 ser inmediata<\/b>.<\/p>\n<p class=\"text-justify\">Si cree que su organizaci\u00f3n no est\u00e1 preparada para esta situaci\u00f3n, p\u00f3ngase en contacto con nosotros y le ayudaremos a protegerse.<\/p>\n<p class=\"text-justify\"><b>Fabi\u00e1n Plaza Miranda,&nbsp;Auren Abogados y Asesores&nbsp;Fiscales.<\/b><\/p>\n<p><!-- AddThis Advanced Settings generic via filter on the_content --><!-- AddThis Share Buttons generic via filter on the_content --><\/p>\n","protected":false},"excerpt":{"rendered":"<p>M\u00e1s de un a\u00f1o despu\u00e9s de que empezara a aplicarse el RGPD, cabe decir que muchos responsables del tratamiento de datos han podido lograr que sus organizaciones afronten, con \u00e9xito, la gran cantidad de cambios que ven\u00eda a exigir la implantaci\u00f3n de la nueva normativa en esta materia: est\u00e1n ofreciendo m\u00e1s informaci\u00f3n a la hora de recabar los datos, conocen los nuevos derechos que tienen los interesados, son m\u00e1s cuidadosos cuando solicitan su consentimiento, etc.<\/p>\n","protected":false},"featured_media":3991,"template":"","meta":{"_acf_changed":false,"footnotes":""},"blog-category":[],"class_list":["post-3990","blog","type-blog","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog\/3990","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/types\/blog"}],"version-history":[{"count":0,"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog\/3990\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/media\/3991"}],"wp:attachment":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/media?parent=3990"}],"wp:term":[{"taxonomy":"blog-category","embeddable":true,"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog-category?post=3990"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}