El responsable de protección de datos de la organización se encargará de que se elabore un procedimiento de actuación en caso de que se materialice una brecha de seguridad con pérdida de confidencialidad de datos de carácter personal y con un impacto alto en la privacidad de los individuos afectados. Este procedimiento ha de desarrollarse de manera especialmente detallada en aquellas grandes organizaciones que tengan un mayor nivel de riesgo inherente, en base al volumen de datos personales procesados, su sensibilidad y la posibilidad de que se materialice en el individuo un impacto alto o severo en su privacidad.
Objetivos
El procedimiento de notificación de brechas de seguridad debe cumplir los siguientes objetivos:
Asignar las distintas responsabilidades dentro y fuera de la organización. Es importante además establecer el deber de confidencialidad; es decir, obligación de no divulgar ninguna información relacionada con el incidente con nadie de dentro o fuera de la organización a menos que se esté expresamente autorizado.- Asegurarse de que cualquier incidente de seguridad con impacto en la privacidad sea notificado de modo inmediato al responsable de protección de datos de la organización en cuanto sea detectado. Debe asegurarse que en caso de que el incidente sea detectado por personal y/o en instalaciones de terceros, esta notificación también se realice en estos términos.
- Definir un procedimiento de valoración preliminar claro para determinar cuándo el incidente cumple los requisitos para ser notificado a la autoridad de protección de datos de acuerdo a la legislación europea. Debe tenerse en cuenta además el plazo legal exigible para notificar el incidente a las autoridades (en el caso del reglamento Europeo, no más de 72 horas desde que se tenga conocimiento del incidente).
- Debe contemplar las pautas del plan para comunicar en caso de que sea necesario, los detalles sobre el incidente y las acciones correctivas, tanto a los clientes como eventualmente a los medios de comunicación. El plan de comunicación debe establecer de manera clara los canales y las personas autorizadas para comunicar en nombre de la organización. En especial, debe contemplar la posible comunicación a la prensa por parte del máximo responsable de la compañía.
- Debe contemplar las distintas opciones que se pondrán a disposición de los afectados para remediar en la medida de los posible las consecuencias negativas.
El procedimiento de notificación
El procedimiento de notificación de brechas de seguridad, requiere que en las relaciones con terceros, se establezca a nivel contractual el responsable dentro de la empresa tercera que se encargará de notificar un eventual incidente, así como los plazos para hacerlo. También se requerirá a las empresas terceras que dispongan de un procedimiento interno de comunicación para evitar que se produzcan filtraciones indeseadas. Dada la criticidad del proceso, es imprescindible la involucración en la definición del mismo de la alta dirección y en especial de los responsables de comunicación organizativa y de asesoría legal.
Pidan presupuesto sin compromiso de implantación de la normativa vigente
