Ninguna empresa o entidad (Responsable de Tratamiento) está exenta de sufrir algún ataque o situación, accidental o no, que provoque un incidente que afecte a los datos de carácter personal que trata como responsable.
Estaremos ante una brecha de seguridad cuando se produzca un incidente de confidencialidad (se produce un acceso indebido a los datos), de integridad (cuando se alteren o borren datos) o de disponibilidad (imposibilidad de disponer de los datos porque han sido bloqueados o eliminados).
No obstante, un incidente que únicamente afecte a la seguridad del sistema de la entidad, pero que no afecte a los datos de carácter personal, no será una brecha.
Por lo tanto, no siempre habrá que proceder a notificar ante la Agencia Española de Protección de Datos (AEPD) el incidente de seguridad que hayamos sufrido, ya que únicamente habrá que notificarlo cuando exista un riesgo real para los derechos y libertades de los afectados por la brecha.
Así pues, la empresa o entidad deberá de analizar si el incidente que ha sufrido es notificable ante la AEPD o por el contrario se queda en una incidencia interna.
No obstante, estos incidentes pueden evitarse, o al menos, reducir o mitigar el alcance de los mismos, y evitar así tener que notificar una brecha de seguridad ante la AEPD.
Para ello, la entidad debe implementar un buen sistema de seguridad tanto a nivel informático como de protocolos de actuación internos, encaminados a proteger la seguridad de los datos de carácter personal que se tratan.
La entidad deberá determinar las medidas que resultan adecuadas en atención a la tecnología, tipología y volumen de datos tratados, tratamientos que realiza, etc., tendentes a eliminar o mitigar y reducir el riesgo sobre los datos que trata.
Además, el responsable deberá comprobar y asegurarse de que esas medidas se aplican realmente en la práctica y que son adecuadas en atención a los tratamientos que realiza y al tipo de interesados a los que se refiere.
La clave está en ser proactivos. Si las empresas o entidades cumplen con el principio de responsabilidad proactiva que exige el RGPD, ello podría traducirse en la reducción del riesgo de sanciones en caso de sufrir algún tipo de incidente de seguridad que afectase a los datos personales que gestionan dichas entidades: por ejemplo, si tienen algún caso de fuga de datos, si previamente han implementado medidas de seguridad como por ejemplo tener contraseñas seguras, o que los datos personales están cifrados y almacenados de forma segura, ello reduciría mucho la imposición de una sanción por parte de la AEPD.
Asimismo, también se podría evitar o reducir la posibilidad de una sanción, si tras el incidente sufrido, la entidad aplica un procedimiento rápido de respuesta a dicho incidente, atendiendo adecuadamente el mismo para proceder a la reparación, así como notificar el incidente a la AEPD de forma inmediata (siempre y cuando, tal y como se ha dicho anteriormente, el incidente sea notificable por existir un riesgo real para los derechos y libertades de los afectados).
