Guía para la gestión y notificación de brechas de seguridad
Guía para la
gestión y
noticación
de brechas
de seguridad
Con la colaboración de:
Índice
1. Introducción
2. Objetivos de la guía
3. ¿Qué se entiende por “brecha de seguridad“?
4. Nuevas obligaciones relativas a la gestión y notificación de
brechas de seguridad
5. Marco Normativo
6. Gestión de brechas de seguridad: preparación, detección,
identificación y clasificación
6.1 Detección e identicación
6.1.1 Formas de detección e identicación
6.1.2 Identicación y registro
6.2 Clasicación
6.2.1 Clasicación de incidentes de seguridad
6.2.2 Tipo de brecha de seguridad
6.2.3 Valoración del alcance de la brecha de seguridad
7. Gestión de brechas de seguridad: Plan de actuación
7.1 Figuras implicadas
7.2 Análisis y Clasicación
7.3 Proceso de respuesta
7.4 Proceso de noticación
7.5 Seguimiento y cierre
8. Respuesta a brechas de seguridad
8.1 Contención del incidente
8.2 Solución / Erradicación
8.3 Recuperación
8.4 Recolección y custodia de evidencias
8.5 Comunicación / Informe de resolución (Interna / Externa)
9. Notificación de brechas de seguridad
9.1 Proceso de noticación a la autoridad de control
9.2 Identicación de la autoridad de control
9.2.1 Canal de noticación de la AEPD
9.2.2 Proceso de comunicación al afectado
9.3 Excepciones a la noticación / comunicación
Anexo I. Marco Normativo
Anexo II. Formulario de NOTIFICACIÓN DE INCIDENTES DE
SEGURIDAD DE DATOS PERSONALES de acuerdo al artículo 33
del RGPD
Anexo III. Ejemplos ilustrativos.
Anexo IV. Referencias bibliográcas
Anexo V. Otros recursos
3
8
12
13
14
14
16
17
18
19
19
21
22
24
24
26
27
28
29
32
32
34
35
36
37
39
40
42
42
42
44
45
48
53
55
56
3
GUÍA PARA LA GESTIÓN
Y NOTIFICACIÓN DE
BRECHAS DE SEGURIDAD
El Reglamento General de Protección de Datos (RGPD) pretende establecer un marco más sólido y
coherente para la protección de datos en la Unión Europea, siendo aplicable a partir del 25 de mayo de
2018. El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta
la naturaleza, el ámbito, el contexto y los nes del tratamiento así como el riesgo para los derechos y
libertades de las personas.
El nuevo RGPD implica para los responsables el reto de adaptar de manera continua las condiciones
de los tratamientos de datos personales que realizan. Esta adaptación es un reto, en especial para
el tejido empresarial nacional principalmente compuesto de pymes y micropymes que se ven en la
necesidad de llevar a cabo actividades como, por ejemplo, las relacionadas con el análisis de riesgos de
los tratamientos que realizan.
Este esfuerzo de adaptación de los responsables y encargados de los tratamientos está, en denitiva,
encaminado a favorecer el desarrollo de la economía digital y el fortalecimiento de los derechos y
libertades de las personas, sin la conanza de los interesados, el desarrollo de la economía digital no
será posible. En denitiva el RGPD se convierte en una herramienta para compatibilizar el desarrollo
de la economía digital con garantías para los derechos y libertades de las personas y no debe ser
considerado única y exclusivamente un nuevo modelo de cumplimiento. Con relación a la pro actividad
para supervisar de forma constante los tratamientos de datos personales por parte de los encargados
y los responsables de los tratamientos, el RGPD añade la noticación de las violaciones de seguridad
1. Introducción
El tratamiento de datos personales con diversas nalidades
y diferentes volúmenes de información y complejidad es una
realidad dentro de la actividad cotidiana de las empresas.
La protección de las personas físicas en relación con el
tratamiento de datos personales es un derecho fundamental,
y en ese sentido la rápida evolución tecnológica y el nivel de
globalización han planteado nuevos retos para la protección de
datos personales.
Introducción
Para continuar leyendo
Solicita tu prueba