Una encuesta internacional de Global Privacy Enforcement Network (GPEN), en la que ha participado la APDCAT, constata que hay un alto nivel de concienciación entre los responsables del tratamiento de datos personales en cuanto a la obligación de notificar de violaciones de seguridad.
Marzo de 2020
Según la encuesta de GPEN, el 84% de las organizaciones encuestadas tienen sistemas establecidos para notificar las violaciones de seguridad, incluyendo un equipo designado o un grupo responsable de gestionar las violaciones de seguridad.
Las organizaciones encuestadas muestran un alto nivel de conocimiento sobre las mejores prácticas para responder adecuadamente a las violaciones de seguridad, aunque es preciso señalar que los resultados se obtienen sólo a partir de las entidades que voluntariamente aceptaron la oferta para participar, que en el caso de Cataluña fue del 57% de las entidades encuestadas, pero en otras autoridades fue inferior.
Conclusiones de la encuesta
Se valora positivamente que un alto porcentaje de organizaciones (el 84%) de todos los sectores y jurisdicciones implicadas habrían nombrado a un equipo o a un grupo responsable de gestionar violaciones de seguridad, al que se debe informar de los incumplimientos ocurridos.
El 75% de los procedimientos de las organizaciones prevén elementos clave, como la contención de la amenaza y la evaluación del riesgo asociado. El 18% de las respuestas relacionadas con esta pregunta sobre los procedimientos fueron "pobres", lo que indica que estas políticas se podrían aclarar para concretar y prever los pasos clave a seguir para responder adecuadamente a una violación de seguridad.
En el 65% de las organizaciones se detectó que había procedimientos "muy buenos" o "buenos" para aplicar después de una violación de seguridad y para evitar que se produzcan en el futuro. Sin embargo, el resto de organizaciones en esta categoría tienen procedimientos "pobres", o bien no han especificado su respuesta.
En el caso de organizaciones sin políticas internas, estas indican que confían en las directrices publicadas por su Autoridad de protección de datos de referencia, cuando sea necesario. Uno de los encuestados describió su sistema de evaluación de violaciones de seguridad, e indicó que había implementado un sistema de calificación por colores rojo, ámbar, verde (RAG). Declararon que este sistema tiene en cuenta el número de ficheros afectados, la sensibilidad de los datos, el perjuicio causado, la contención de la violación, si la información se ha recuperado y si los datos han sido cifrados.
La notificación de violaciones de seguridad es obligatoria en 12 de las 16 jurisdicciones que participaron en la encuesta. Casi todas las organizaciones encuestadas tienen conocimiento del marco legal relevante, incluidas las condiciones y plazos de notificación. Sólo cinco organizaciones demostraron una mala comprensión del marco legal.
La información y asesoramiento proporcionado por las Autoridades de protección de datos locales (DPA) sobre la notificación de violaciones de seguridad, se considera como útil para la mayoría de las organizaciones encuestadas. Sin embargo, las organizaciones más pequeñas manifiestan que han tenido que luchar para asimilar grandes cantidades de información. Este hecho, junto con la falta de recursos propios de estas organizaciones pequeñas, les habría impedido desarrollar políticas y procedimientos sofisticados en relación con la gestión de violaciones de seguridad.
No se cubren las expectativas
A pesar de tener un buen conocimiento de las obligaciones, la encuesta pone de manifiesto que muchas organizaciones quedan por debajo de las expectativas, en el sentido de que no tienen un plan de control o monitorización internos, en relación con los estándares de protección de datos, para gestionar las violaciones de seguridad. En concreto, más del 30% de las organizaciones no tienen implementados programas para llevar a cabo autoevaluaciones y/o auditorías internas.
Alrededor del 45% de las organizaciones que respondieron indicaron que mantienen registros actualizados de todas las violaciones de seguridad sufridas, o de las potenciales.
Participación de la Autoridad Catalana de Protección de Datos
Como en años anteriores, la Autoridad ha participado en la encuesta anual de GPEN.
En esta ocasión se ha encuestado a diversas entidades del ámbito de control de la Autoridad (Departamentos de la Generalitat, Universidades y Colegios profesionales, así como Ayuntamientos seleccionados de forma aleatoria) sobre la forma en que gestionan la notificación obligatoria a la APDCAT.
En concreto se les ha preguntado, a las entidades encuestadas, diversas cuestiones sobre su grado de conocimiento respecto a la obligación de notificar las violaciones de seguridad y el modo de hacerlo; sobre los incidentes de seguridad que han sufrido; como los han gestionado; sobre la existencia de protocolos de actuación; sobre la respuesta recibida a las notificaciones; sobre la comunicación a las personas afectadas, y también sobre su conocimiento respecto la evaluación del riesgo que supone una violación de seguridad.
Las respuestas ayudan a la Autoridad a captar el grado de conocimiento de las obligaciones de los responsables a la hora de detectar y de notificar violaciones de seguridad, y sobre cómo deben gestionar estas violaciones.
Pueden consultar el informe elaborado por la Apdcat en el siguiente enlace (disponible en versión original).
Notas finales
1. El GPEN se constituyó en 2010, por recomendación de la Organización de Cooperación y Desarrollo Económico (OCDE). Su objetivo es favorecer la cooperación transfronteriza entre los reguladores de privacidad en un mercado cada vez más global, en el que el comercio y la actividad del consumidor se basan en el flujo de información personal a través de las fronteras. Las Autoridades participantes buscan trabajar conjuntamente para reforzar las protecciones de privacidad en este contexto global. La red informal está formada por más de 60 Autoridades en 39 jurisdicciones de todo el mundo.
2. Actualment, el GPEN está presidido por la Oficina del Comisario de Privacidad de Nueva Zelanda.
3. Para participar en la encuesta, se prepararon un conjunto de preguntas predeterminadas referidas a las prácticas actuales de las organizaciones encuestadas para registrar y notificar las violaciones de datos.