8 de julio de 2018

AEPD. Presenta la 'Guía para la gestión y notificación de brechas de seguridad', enfocada al cumplimiento del RGPD

La Asociación Española de Protección de Datos (AEPD) ha presentado la 'Guía para la gestión y notificación de brechas de seguridad', que recoge en una serie de recomendaciones preventivas y planes de actuación, y está dirigida principalmente a los responsables del tratamiento de datos en las empresas, con el objetivo de facilitar la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
La 'Guía para la gestión y notificación de brechas de seguridad' es un documento orientado a ofrecer consejos de prevención y dispositivos de actuación a quien maneja datos dentro de una empresa. A la elaboración de este documento también han contribuido el Centro Criptológico Nacional (CCN), el Instituto Nacional de Ciberseguridad (INCIBE) y el ISMS Forum de empresas, como han informado en un encuentro con la prensa, celebrado este martes.
La guía consta de cinco bloques relacionados cada uno de ellos con una etapa del proceso de gestión de brechas. En primer lugar, la detección e identificación ofrece detalles sobre cómo estar preparado, que incluyen sistemas de software de antivirus, de alertas o la existencia de un soporte documental para canalizar las respuestas.
El plan de actuación comprende los aspectos relativos a cómo proceder en caso de incidente teniendo en cuenta los organismos y autoridades implicadas en la brecha y medidas de contención. La clasificación, por su parte, permite analizar con precisión el problema basándose en su peligrosidad y el impacto que pueda tener sobre los derechos y libertades de la gente.
Una vez delimitada e identificada la brecha, se procede a efectuar una respuesta para solucionar el problema. Tras la puesta en práctica de la solución, el proceso acaba con la obligada notificación a la autoridad de control. Dentro de la guía se incluyen dos anexos en los cuales se muestran modelos de notificación, entre ellos el utilizado por la sede electrónica de la AEPD.
El documento apoya los cambios que introdujo el RGPD en mayo de este año y fomenta la colaboración público-privada en la gestión de brechas. Cualquier responsable de datos en una empresa está obligado a notificar una quiebra de seguridad, en caso de que esta suponga un riesgo para los derechos y libertades de las personas, en un plazo máximo de 72 horas desde su identificación. Además, el reglamento introduce medidas para acreditar la responsabilidad de las empresas.
Fuente: Europa Press