Invitación a participar en el proyecto GDPR Brechas

Origen del proyecto

El análisis de las resoluciones de las autoridades de control relativas a violaciones de la seguridad de los datos se inició en mayo de 2019, al cumplirse el primer año de aplicación efectiva del RGPD. La presentación de las primeras conclusiones del estudio tuvo lugar en un webinar sobre brechas de seguridad que organizó Thomson Reuters en 24 de octubre de 2019.

Objetivos del proyecto

Los objetivos del análisis de las resoluciones son los siguientes:

  1. Identificar las principales causas de las brechas notificadas.
  2. Identificar el origen más habitual: autores o responsables.
  3. Valorar la implicación de los proveedores o encargados del tratamiento.
  4. Identificar las medidas previas al incidente que la autoridad de control ha valorado.
  5. Identificar las medidas posteriores al incidente que la autoridad de control ha valorado.
  6. Identificar los argumentos utilizados para fundamentar el archivo o la sanción.
  7. Aprovechar el conocimiento obtenido para la prevención de futuras brechas.
  8. Ir más allá de una auditoría de seguridad basada en un modelo teórico.
  9. Reducir los efectos de una brecha en el caso de no poder evitarla.
  10. Generar pruebas que permitan acreditar la diligencia de la empresa.
  11. Evitar sanciones e indemnizaciones de daños y perjuicios a los afectados.

Referencias a los casos analizados

Las referencias a los casos analizados se limitan al número de expediente, con el fin de evitar cualquier mención a la empresa que ha tenido el incidente de seguridad.

Las valoraciones y los comentarios constituyen únicamente un análisis jurídico y técnico.

No se valora la gestión de la empresa ni de sus responsables.

ACCESO AL PROYECTO GDPR BRECHAS

Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

Controles de la nueva ISO 27701 sobre seguridad de los datos personales

Hemos introducido en el apartado Certificaciones de nuestra aplicación Compliance 3.0 los 263 controles de la nueva ISO 27701.

Esta ISO está específicamente destinada a la seguridad de los datos personales, y se basa directamente en el RGPD y en una ISO anterior.

Por ello, se convierte en el marco de referencia ideal para las medidas de seguridad de la empresa. Aunque no se obtenga la certificación, recomendamos que la política de seguridad de la empresa en materia de datos personales se base en los criterios de esta ISO.

Estas medidas también son válidas para la protección de los secretos empresariales.

Si la empresa ya tiene la ISO 27001, o estaba pensando en obtenerla, esta ISO es un desarrollo de la ISO 27001 y de la ISO 27002, pero específicamente orientada a la seguridad de los datos personales.

También recomendamos exigirla a los proveedores críticos que realizan funciones de encargado del tratamiento. Si hasta ahora la ISO 27001 se trataba en el contrato como una de las garantías previstas en el artículo 32 del RGPD, a partir de ahora esta ISO se puede convertir en la mejor garantía en materia de seguridad de los datos personales.

En el caso de que se produzca una brecha de seguridad, tener esta certificación o acreditar que se ha seguido este marco de referencia puede ser utilizado como evidencia del esfuerzo realizado por la empresa para la prevención de incidentes de seguridad.