¿Quién está obligado a comunicar la brecha de seguridad?
Delegado de Protección de Datos. El Responsable del Tratamiento de Datos, empresas que no precisan DPD. Los responsables de los incidentes de seguridad informática (CSIRT).
︎ ¿Dónde comunicar la brecha de Seguridad?
Comunicar Brechas de Seguridad
¿Documentación a tener en cuenta?
Art. 35.5 RGPD. Registro de Actividades (Eventos e Incidencias).
¿Cuál es la diferencia entre un evento o un incidente?
Un evento es la detección temprana ante un posible ataque hacker. Cuando usted detecta que le han inyectado un trozo de pornografía china en su página web, está ante un evento. El incidente es cuando ocurre el desastre.
Un evento es cuando usted detecta que le llega un email con un fichero sospechoso. Un email con un intento de estafa.
Anotar los eventos en su Registro de Actividades es fundamental para poder reunirse con su equipo de seguridad y manisfestar las distintas líneas desde donde le están intentando atacar.
Si usted obvia anotar los eventos, sufrirá el ataque hacker con un consentimiento implícito. Ya que no quiso debatir ni buscar soluciones a los pequeños eventos antes del incidente.
El registro de actividades es un documento voluntario para empresas que no tengan más de 250 trabajadores. Se recomienda en todas las empresas.
Cuando usted vaya a comunicar una brecha de seguridad le pedirán la trazabilidad, gestión y control de los eventos e incidentes.
¿Cuándo comunicar la brecha de Seguridad?
Según RGPD: Art.33, se comunicará si la brecha de seguridad afecta a los derechos y libertades de las personas.
Según RGPD: Art.34, si la brecha es grave, se comunicará también a los afectados
Según LSSI: siempre se ha de comunicar la brecha de seguridad
¿Qué pasa si pasan las 72h y no comunico la Brecha de Seguridad?
Si pasan las 72h y no se comunicó la brecha de seguridad a la AEPD, se ha de comunicar al SESIAD: Secretaría de Estado para el Avance Digital.
¿Qué tipos de Brechas de Seguridad Existen?
︎ Brecha de Confidencialidad: Accede un tercero no autorizado a la información. La pérdida de confidencialidad, será más peligrosa según la divulgación.
︎ Brecha de Integridad: se altera la información. Los datos pueden ser alterados.
︎ Brecha de disponibilidad: no se puede acceder a los datos y es perjudicial para el individuo.
︎ Impacto:
Bajo (perjuicio limitado)
Medio (perjuicio grave)
Alto (perjuicio muy grave)
Los organismos Públicos han de comunicar las brechas de seguridad según el Esquema Nacional de Seguridad ENS:
︎ ¿Dónde comunicar la brecha de Seguridad? Herramienta Lucía
¿Los ciudadanos donde podemos comunicar nuestras incidencias ante la Agencia de Protección de Datos?
Trámites en Línea de la AEPD para Ciudadanos
Línea gratuita de ayuda en Ciberseguridad: 
017 para empresas, ciudadanos, padres, menores y educadores
Canal Prioritario de la Agencia de Protección de Datos ante contenidos sexual o violento. #PuedesPararlo