Red Seguridad 100

36 red seguridad primer trimestre 2023 administración La ciberseguridad tiene como objeti- vo proteger sistemas, redes y servicios frente a ataques de todo tipo. Y para conseguir esta finalidad en un mundo digitalizado, las organizaciones aplican medidas organizativas, técnicas y jurí- dicas. La protección de datos, por su parte, tiene como objetivo garantizar un derecho fundamental cuya vulneración puede llegar a tener graves consecuen- cias para las personas. Ambos conceptos, entrelazados a tra- vés de la protección de la información que tratan las organizaciones, no pue- den desligarse. En la era digital, las ame- nazas son globales y los ataques cada vez más frecuentes, lo que puede aca- rrear importantes daños reputacionales y económicos. En la medida en que se traten da- tos personales, se aplicará también el Reglamento General de Protección de Datos (RGPD). Las organizaciones que no adapten los principios de protección de datos a los tratamientos que llevan a cabo estarán creando graves vulnerabi- lidades para ellas mismas y, sobre todo, para los derechos de las personas. La limitación de finalidad y la conservación, minimización y responsabilidad proacti- va o la protección de datos por defecto y desde el diseño son principios que, de no cumplirse, comprometen la seguri- dad de las organizaciones desde sus cimientos. Brechas de datos En 2022, las brechas de datos perso- nales causadas por ciberincidentes de origen externo y malintencionado fue- ron las que se notificaron con mayor frecuencia ante la Agencia Española de Protección de Datos. El ransomware fue, en concreto, el incidente más repetido. Las entidades deben aplicar medidas para intentar evitar la materialización de estos ataques y tener capacidad para detectarlos de forma temprana. Por otro lado, la notificación a la Agen- cia de una brecha que afecta a datos personales y que suponga un riesgo para los derechos y libertades de las per- sonas forma parte de la responsabilidad proactiva establecida en el RGPD. Pero el hecho de notificarla no implica que la Agencia vaya a iniciar un procedimiento contra la entidad. De hecho, notificar de- muestra diligencia, mientras que no ha- cerlo sí está tipificado como infracción. Las obligaciones con relación a las brechas de datos personales no se redu- cen solo a notificarlas a la autoridad de protección de datos y a los interesados, sino a aplicar medidas para garantizar y poder demostrar el cumplimiento tenien- do en cuenta naturaleza, ámbito, contex- to y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas. Para ayudar a las organizaciones, la Agencia dispone de herramientas como la Guía para la gestión de brechas de datos personales ; Asesora Brecha, para evaluar la necesidad de notificar a la Autoridad de Control; o Comunica Brecha, para evaluar la obligación de comunicar a las personas interesadas, entre otras. Protección de datos y seguridad en la era digital Mar España Directora de la Agencia Española de Protección de Datos