¿Qué es una fuga de datos personales y cómo se gestiona eficazmente?

¡Compártelo!
Facebook
Twitter
LinkedIn

¿Qué es un dato personal?

Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal.

Por ejemplo, el nombre de una persona en general no tiene porque ser un dato personal siempre que no sea identificado o identificable. Pero si dicho nombre va asociado a una dirección de donde reside dicha persona, dicho dato personal es identificado o identificable.

¿Qué es una fuga de datos personales?

Se llama fuga de datos personales a la pérdida de la confidencialidad, de forma que personal no autorizado accede a información privilegiada. La confidencialidad es uno de los principios básicos de la protección de la información. Por tanto, la fuga de datos es una brecha de datos personales donde la información ha sido accedido por parte de personal no autorizado.

¿Cuáles son las consecuencias de una fuga de datos?

Las consecuencias derivadas de una fuga de datos van a ser siempre. Y no va a depender la mayoría de las veces del tamaño de la empresa/organización si no de la criticidad de los datos personales. Alguna de ellas es:

  • La reputación de la empresa u organización, ya que el conocimiento público de la existencia de una filtración de datos personales dañará la imagen pública del mismo. Es decir, impactará muy negativa en el negocio e inseguridad en los clientes, proveedores, etc. Por tanto, gestionar una fuga de información va a ser fundamental para mitigar la fuga de datos personales.
  • La publicación de datos personales puede generar consecuencias a terceros: grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho públicos.
  • Una brecha de datos personales de la naturaleza que tratamos puede derivar en sanciones de distinta entidad (civiles, penales, deontológicas, penales).

Origen y motivos de una fuga de datos personales

El origen de las amenazas que provocan las fugas de datos personales puede ser tanto externa como interna. A continuación, se muestra algunos ejemplos a modo de ilustración.

  • Origen interno: dentro de este punto incluimos las fugas de datos personales ocasionadas por empleados propios de la empresa u organización. Dicha fuga de datos personales puede ser de forma inconsciente o dolosa (se realiza de manera de manera voluntaria).
  • Origen externo: dentro de este grupo incluimos amenazas que provienen de fuera de nuestra empresa u organización y que tienen por objetivo acceder de manera ilícita a información confidencial.

¿Cuáles son las causas de la fuga de datos personales?

Por desgracia, las fugas de datos personales implican la ausencia o ineficiencia de algún tipo de medida o de procedimiento de seguridad, implementados para evitar este tipo de brecha de datos personales. Alguno de los cuales son los siguientes:
  • Causas organizativas: falta de educación y formación en seguridad informática, ausencia de procedimientos y obligaciones a los trabajadores y proveedores en el ámbito de la ciberseguridad, falta de acuerdos de confidencialidad, etc.
  • Causas técnicas: falta de una instalación y configuración idónea, falta de auditorias y comprobaciones de los niveles de seguridad informática adecuada, falta de actualización de los sistemas, uso no correcto de las infraestructuras de la empresa/organización, etc.

¿Cómo debe gestionarse una fuga de datos personales?

La fuga de datos personales se gestiona de diversas maneras dependiendo del caso y de su gravedad. Las fases se adaptarán según el caso:

  1. Fase inicial: detección del incidente de seguridad e inicio del protocolo de fuga de información.
  2. Fase de lanzamiento: reunión del gabinete de crisis, informe inicial de situación, notificación a la Agencia Española de Protección de Datos de la brecha de datos personales (menos de 72 horas), coordinación y primeras acciones.
  3. Fase de auditoria: auditoria de lo acaecido y elaboración del preinforme.
  4. Fase de evaluación: reunión del gabinete de crisis, presentación del preinforme, tareas y planificación de las acciones a tomar.
  5. Fase de mitigación: ejecución de las acciones.
  6. Fase de seguimiento: valoración de los resultados, auditoria completa, aplicación de las medidas a tomar.

Si sufre una brecha de seguridad de datos personales debida por ejemplo a una fuga de datos no dude en consultarnos para su gestión. Llevamos años realizándolo 😉