La ciberseguridad tiene como objetivo proteger sistemas, redes y servicios frente a ataques de todo tipo. Y para conseguir esta finalidad en un mundo digitalizado, las organizaciones aplican medidas organizativas, técnicas y jurídicas. La protección de datos, por su parte, tiene como objetivo garantizar un derecho fundamental cuya vulneración puede llegar a tener graves consecuencias para las personas.
Ambos conceptos, entrelazados a través de la protección de la información que tratan las organizaciones, no pueden desligarse. En la era digital, las amenazas son globales y los ataques cada vez más frecuentes, lo que puede acarrear importantes daños reputacionales y económicos.
En la medida en que se traten datos personales, se aplicará también el Reglamento General de Protección de Datos (RGPD). Las organizaciones que no adapten los principios de protección de datos a los tratamientos que llevan a cabo estarán creando graves vulnerabilidades para ellas mismas y, sobre todo, para los derechos de las personas. La limitación de finalidad y la conservación, minimización y responsabilidad proactiva o la protección de datos por defecto y desde el diseño son principios que, de no cumplirse, comprometen la seguridad de las organizaciones desde sus cimientos.
Protección de datos: brechas de seguridad
En 2022, las brechas de datos personales causadas por ciberincidentes de origen externo y malintencionado fueron las que se notificaron con mayor frecuencia ante la Agencia Española de Protección de Datos. El ransomware fue, en concreto, el incidente más repetido. Las entidades deben aplicar medidas para intentar evitar la materialización de estos ataques y tener capacidad para detectarlos de forma temprana.
Por otro lado, la notificación a la Agencia de una brecha que afecta a datos personales y que suponga un riesgo para los derechos y libertades de las personas forma parte de la responsabilidad proactiva establecida en el RGPD. Pero el hecho de notificarla no implica que la Agencia vaya a iniciar un procedimiento contra la entidad. De hecho, notificar demuestra diligencia, mientras que no hacerlo sí está tipificado como infracción.
Las obligaciones con relación a las brechas de datos personales no se reducen solo a notificarlas a la autoridad de protección de datos y a los interesados, sino a aplicar medidas para garantizar y poder demostrar el cumplimiento teniendo en cuenta naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas.
Para ayudar a las organizaciones, la Agencia dispone de herramientas como la Guía para la gestión de brechas de datos personales; Asesora Brecha, para evaluar la necesidad de notificar a la Autoridad de Control; o Comunica Brecha, para evaluar la obligación de comunicar a las personas interesadas, entre otras.