En esta XV Edición del Foro de la Privacidad organizado por ISMS Forum y su Data Privacy Institute ya ha pasado a la historia por la calidad de sus ponencias y de sus intervenciones. Entre ellas hay que mencionar la presentación de la Guía Práctica de Brechas de Datos Personales 2023 que actualiza la versión del 2021.

Tomás Sánz, Gisela Reverter, Susana Rey y Javier Lomas

Esta ponencia fue realizada por sus coordinadores Susana Rey, de la Oficina del DPO de MásMovil y miembro del Board del Capítulo Gallego de ISMS Forum, y Javier Lomas, Delegado de Protección de Datos de Codere Group, junto a dos integrantes de este grupo de trabajo creado al efecto como fueron Tomás Sánz, Responsable de la Oficina Ejecutiva de Protección de Datos en ING Spain & Portugal, y Gisela Reverter, Asesoría Jurídica Corporativa de VidaCaixa.

La estructura de este grupo de trabajo es la siguiente. Como coordinadores: Javier Lomas (DPO en Codere Group) y Susana Rey (Oficina del DPO en MásMovil). Subcoordinador: Elena Mora (Directora de Privacidad y Protección del Dato en MAPFRE).

En cuanto a los participantes, cabe mencionar a Gisela Reverter (Abogada Privacidad, Innovación y Contratación en VidaCaixa), Gustavo Lozano (CISO en ING España y Portugal), Ignacio Puente (Subdirector de la Oficina Corporativa de Privacidad y Protección de Datos), Jaime Requejo García-Abril (DPO en Sanitas), y Josep Bardallo Gay (Director de TI y CISO Grupo Hospitalario Recoletas).

Junto a ellos se encuentra Marta Cañas Miralles (Delegada de Protección de Datos en Iberia y Level Airlines), Melania Haro Peredo (Manager en Deloitte España), Sonia Beulas Boix (Abogada Especializada en Protección de Datos), Tomás Sánz Morejón (Responsable de la Oficina Ejecutiva de Protección de Datos en ING España y Portugal), Katsuko Saito Peña (Responsable de Marco Regulatorio en MAPFRE) y Victoria Wichmann (Senior en Asesoramiento de Riesgos).

Por su parte, la gestión de proyectos ha estado a cargo de Beatriz García González (Manager de proyectos de ISMS Forum) y la maquetación y diseño por Cynthia Rica Gómez (Responsable de comunicación interna de ISMS Forum).

Una Guía con varios antecedentes

Susana Rey recuerda que esta guía es heredera de otra que se realizó en el 2018 conjuntamente con la AEPD (Agencia Española de Protección de Datos) “luego la hemos actualizado nosotros desde un grupo de trabajo que creó ISMS Forum en el 2021. Por su parte, la AEPD ha sacado su Guía de notificación de brechas pensada de cara a orientar al profesional de la privacidad como notificar esos incidentes”.

Susana Rey

“Nosotros lo que intentamos con esta guía, que como antes señalé se presentó en el 2021, es que sea un documento de ayuda para el profesional en esa gestión de la brecha. La publicación cubre el ciclo de vida completo de la brecha de seguridad, porque notificar es una parte, pero no la única que hay que hacer”, aclara.

Para Javier Lomas, el otro coordinador de esta publicación, “la guía se ha gestionado por 14 profesionales en esta segunda edición, junto con el apoyo del staff de ISMS Forum. Son profesionales relacionados con la privacidad y la ciberseguridad de actividades como seguros, telecomunicación, juego o banca”.

Susana aclara que la publicación tiene dos partes “una más teórica donde abordamos las cuestiones que un profesional de la privacidad debería tener en cuenta y leer a la hora de enfrentarse a una brecha de seguridad. Se trata de que conozcan las buenas prácticas existentes en dicha gestión y cómo las pueden poner en práctica en su compañía”.

“Al mismo tiempo, la segunda parte es la de los casos prácticos donde analizamos distintas situaciones ficticias, pero que son brechas posibles. Hemos recogido las experiencias de cada uno de nosotros a nivel de brechas de seguridad como ejemplos que forman parte de dicha publicación para explicar cómo se resolvieron y si se notificaron o no a la AEPD”, destaca.

Una publicación cien por cien práctica

Para Javier, “un dato importante de esta guía es que está hecha desde la experiencia práctica. Los que participamos hemos sufrido en nuestras compañías la llegada de una brecha de seguridad y su gestión posterior. Hemos procurado aportar nuestra experiencia y saber hacer a la hora de tratar este tipo de incidentes donde hay que gestionar diferentes tipos de datos”.

Javier Lomas

Susanalo tiene claro, “cada brecha es diferente de la anterior y aprendes algo en cuanto a cómo enfrentarse a ella. El hecho de que la guía sea el trabajo de tanta gente enriquece mucho el contenido de esta publicación que ayuda luego a los responsables de privacidad tomar las decisiones adecuadas en cada momento”.

A su juicio, “esos procedimientos o protocolos deben ser transversales en la compañía para saber cómo gestionar esa brecha. Es el armazón general necesario. Luego en función de cada brecha sí que puede tener algunos elementos específicos. Ahí hay que adaptar estos protocolos para determinada tipología de brecha”.

Para Javier “cuestiones que nos preocupan cuando se produce la brecha como es saber a quién se llama, en qué repositorio esta la documentación que comparten distintas áreas de la empresa, qué tipo de reuniones se organizan y de qué manera, si presencial u online, son cuestiones obvias, pero que deben prepararse de antemano”.

Esta jurista recuerda que “las brechas con ransomware son lo más común que está pasado a muchas empresas, eso hace que sea bueno tener un plan de contingencia específico para este tipo de brecha”.

Entrenar los protocolos de actuación

Para Susana “hay que darse cuenta de que cada organización es un mundo y hasta que no se produce una brecha no te das cuenta de tus errores y de cómo la puedes gestionar. Las brechas ayudan a la mejora continua a las organizaciones porque aprenden a mejorar la respuesta a este tipo de incidentes”.

En este contexto “es bueno entrenar los protocolos y hacer simulaciones internas de que hemos sufrido una brecha de seguridad. Se trata de coger alguno de los escenarios prácticos que planteamos en la guía y ponerse en esa situación para saber si tenemos los protocolos adecuados. Así podremos saber los fallos existentes y cómo podemos mejorarlos”.

En su opinión, “a medida que vayas rodando estos protocolos, esos errores en la gestión de las brechas de seguridad irán reduciéndose, En la mayor parte de los casos, no te das cuenta de esas carencias hasta que a una compañía le llega una brecha de seguridad y hay que gestionarla en 72 horas”, apunta.

En cuanto a la notificación o no de la brecha de seguridad, Javier aclara que “si hay alguna duda sobre su impacto, es mejor notificar. Lo hemos comentado en las dos guías en las que hemos intervenido. No te van a sancionar porque notifiques, te van a sancionar por lo que has gestionado y la falta de diligencia en temas de tratamiento. Si lo ocultas, te van a sancionar”.

Sobre dicha gestión de la brecha, Susana destaca que “no es fácil notificarla antes de que la hayamos controlado porque tenemos solo 72 horas. El problema es que a veces en ese periodo de tiempo el ataque que hemos sufrido no ha terminado. Si es un problema puntual y un error nuestro podría valer, pero la realidad es que en grandes corporaciones es una mafia la que está atacando”.

Javier añade que “en determinados casos complejos se puede hacer una notificación inicial a la AEPD para indicar que se ha sufrido la brecha y no tenemos todos los datos, en ese espacio de 72 horas que luego se puede complementar con otro informe que presentemos donde aquí tenemos un mes para presentarlo”.

Para este experto “en esta guía queda claro la importancia de los análisis de riesgos para los derechos y libertades de las personas cuyos datos se ven afectados en las brechas. Análisis que hay que hacer antes de cada tratamiento porque es obligatorio por ley ver cómo se van a asegurar, pero también cuando hay la brecha para saber el grado de afectación exacta y ver qué se puede hacer para reducir ese impacto”.

En este contexto indica que “con uno de los anexos que tiene la publicación, como novedad a la anterior guía, proponemos una base metodológica para aplicar la guía de gestión de riesgos de la AEPD a estos casos en concretos. Creo que es otro valor añadido que lleva consigo esta publicación”.

Casos concretos para tomar decisiones

Sobre estos casos concretos, se puso en marcha un grupo de trabajo formado por 6 profesionales relacionados con el mundo de la privacidad y la seguridad de la información. Elena Mora y Tomás Sánz, como representantes del mismo, explican la importancia de dicha casuística de esta Guía.

Elena Mora es la directora de Privacidad y Protección del Dato dentro de la Dirección Corporativa de Seguridad de MAPFRE España. Lleva 22 años en el mundo de la seguridad, privacidad y gestión del riesgo. Tras una etapa en una big four aterrizó en MAPFRE como responsable de esta área. A nivel mundial, entre otros aspectos, coordina todo lo que tiene que ver con las adecuaciones a las distintas normativas de privacidad y protección de datos.

Elena Mora

Sobre su vinculación a ISMS Forum, Elena subraya que “se remonta desde la creación del Data Privacy Institute hace casi 15 años. Siempre he sido partidaria de establecer criterios globales y del sector, lo que me ha hecho participar en distintos grupos de trabajo de esta entidad”. En particular, ha participado en las tres Guías de Brechas en las que ISMS Forum ha estado implicado; la de 2018 con la Agencia Española de Protección de Datos (AEPD) y la anterior a esta, la del 2021.

A su juicio, “todos los que trabajamos en una empresa, a parte de las obligaciones normales, tendríamos que tener la obligación de trasladar el conocimiento y experiencia a la sociedad, eso me ha hecho participar en acciones de formación desde el DPI (Data Privacy Institute), en distintos másteres como son los que se imparten en la Universidad Alfonso X el Sabio o con el Instituto de Empresa para transmitir ese conocimiento”.

Por su parte, Tomás Sánz es el Responsable de la Oficina Ejecutiva de Protección de Datos en ING España & Portugal. Tras su etapa de consultor donde se especializó en proyectos regulatorios ofreciendo soluciones prácticas y compliant a la empresa. Ahí empezó en el 2015 a conocer el mundo de la privacidad. "Tuvimos que adaptar a ING a escala global al Reglamento General de Protección de Datos (RGPD) desde Ámsterdam,”, recuerda.

Tomás Sánz

Desde su posición reconoce que “lo que hacemos es garantizar que todos los requerimientos y buenas prácticas están implementados y los considera negocio de forma temprana. Es lo que se llama por el RGPD el ‘privacy by design’. Vamos mano a mano con el negocio atendiendo a las necesidades que surgen para gestionarlas de forma eficiente y de manera respetuosa desde la privacidad”.

Respecto a su vinculación a ISMS Forum se remonta a hace cuatro años “asistiendo a muchos de los eventos de privacidad y seguridad de esa entidad; el primero que fui fue el XI Foro de Privacidad. Ahora es la primera vez que participo en una guía de este tipo. Es evidente que esta asociación aporta muchos valores a los profesionales que formamos parte de ella y que compartimos inquietudes similares”.

La importancia de los casos prácticos

Elena aclara que “cuando nos planteamos hacer una actualización de esta Guía de las Brechas teníamos una realidad distinta. La AEPD había puesto en marcha dos herramientas asociadas a la comunicación de la brecha y nuevas experiencias que todos habíamos tenido durante este tiempo. Eso hizo que viéramos la necesidad de realizar un nuevo enfoque en esta guía”.

De esta forma, subraya que “en esta tercera versión nos planteamos darle más peso a los casos para que fueran más autoexplicativos y completarlo con nuevos casos que han podido ocurrir o que nos constaba que generan dudas en el sector”.

Por su parte, Tomás aclara que “nadie está exento de sufrir una brecha de datos personales. Así, según la memoria de la AEPD del 2022 se notificaron 1.751 brechas de datos durante el pasado año, por el camino hay muchas más que se analizaron y no se tuvieron que notificar. Esto supone que entre todas las organizaciones españolas se notificaron una media de 5 brechas diarias”.

De esta forma, en esta Guía se tratan casos vinculados a brechas con “ataques con componentes ciber; brechas relacionadas con datos personales en entornos previos, con el papel, con las cookies o con errores humanos. También hay brechas sujetas a la base de legitimación o suplantación de identidad o filtraciones de empleados”.

Para esta experta, la obligación de comunicar o no esa brecha de datos personales sigue siendo una tarea compleja para los responsables de tratamientos de las organizaciones, “es una preocupación clara a la hora de tomar esta decisión de la comunicación de dicha brecha. La II Guía Práctica de Brechas quiere proporcionar sosiego a los responsables de privacidad a la hora de tomar estas decisiones”.

Desde su punto de vista, “además de la comunicación de la brecha, es fundamental gestionarla de forma adecuada y valorar el riesgo que genera para minimizarlo cuanto antes. Antes de esa comunicación de la brecha es imprescindible realizar esa valoración del riesgo que esta supone”.

Por su parte, Tomás incide en que “esta guía con sus casos prácticos ayuda a identificar los casos más comunes de brechas de datos personales o que pueden suponer dificultades en su valoración. A partir de la identificación hay que contener sus efectos, y tomar la decisión de si hay que notificar a la AEPD por su importancia”.

A este respecto, recuerda que “hay que considerar parámetros como el volumen de datos y el número de interesados afectados; si el destinatario de los datos está sujeto a un deber de confidencialidad o si la brecha es pública o interna (dentro de la empresa). Son parámetros que incidirán en la valoración concreta de cada brecha y en la determinación de su nivel de riesgo para concluir si debemos notificar o no a la AEPD dicha brecha y, en su caso, a los afectados”.

Respecto al uso de la guía, Elena Mora señala que a un DPO que acaba de incorporarse a una empresa, esta publicación es una herramienta importante a la hora de gestionar estas situaciones teniendo como referencia los casos prácticos. Ayuda a realizar esos ciberejercicios y a tener claro a quién vamos a implicar en la gestión de la brecha a nivel interno”.

Para profesionales con más experiencia “es útil porque hemos incorporado nuevos casos prácticos de nuevas tipologías de brechas. De su lectura puede corroborar que está al día de lo que está surgiendo a nivel de brechas de seguridad y revisar si los aspectos que está tomando en consideración son suficientes. Además, no hay que olvidar que un programa de cumplimiento hay que revisarlo periódicamente y esta guía nos permite identificar posibles controles que sería necesario implantar para evitar que estas brechas se produzcan”.

Tomás Sánz recalca que “la guía puede ser utilizada no solo por los profesionales de la privacidad sino por cualquier interesado de la empresa. Podría ayudar como elemento para impulsar programas de concienciación en el seno de cualquier organización.

Respecto al uso que pueden darle los profesionales de privacidad, considera que “es una herramienta práctica para tomar decisiones adecuadas de forma ágil, alineadas con las expectativas de la AEPD y sus herramientas sobre brechas “Asesora” y "Comunica". En esta Guía, con los casos que se desarrollan, se ofrecen recomendaciones sobre esas tipologías de brechas y puede ayudarnos a valorar si nuestros procedimientos internos funcionan adecuadamente”.