(por Federica De Stefani, abogada y jefa de Aidr Regione Lombardia) Escuchamos (cada vez más) a menudo hablar de violación de datos y la solicitud que se deriva de ella, casi naturalmente, se refiere a la posibilidad de evitarla o, al menos, de contener eso.
La respuesta, lamentablemente, es negativa, no es posible evitar una filtración de datos ya que no existe el "riesgo cero".
Ciertamente es posible limitar las oportunidades de caer en la "trampa" del ciberincidente y también es posible limitar las consecuencias que se derivan de él, pero esto es un asunto diferente.
Para comprender el fenómeno de la filtración de datos, muchas veces identificado exclusivamente con un ataque de hacker, es necesario comprender de qué se trata.
¿Qué es la violación de datos?
El término "violación de datos" indica una violación de seguridad que involucra, accidental o ilegalmente, la destrucción, pérdida, modificación, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados de otra manera.
Como ves, una filtración de datos puede implicar la pérdida de datos que no derivan de un ataque de hacker, pero también puede derivar de la pérdida de la disponibilidad de los mismos, como ocurre en la hipótesis en la que hay, por ejemplo , un robo de un dispositivo.
Cuando ocurre la violación de datos
Los tipos de filtración de datos son bastante variados y por ello, a modo de ejemplo, podemos indicar el acceso o adquisición de datos por parte de terceros no autorizados, el robo o pérdida de dispositivos informáticos que contengan datos personales como dentro del caso. los datos por causas accidentales o ataques externos, virus, malware, etc., la alteración deliberada de datos personales, la pérdida o destrucción de datos personales por accidentes, eventos adversos, incendios u otros desastres, la divulgación no autorizada de datos personales.
Dónde puede ocurrir una violación de datos
Una filtración de datos, entendida, como se mencionó, como una violación que afecta la disponibilidad, integridad y confidencialidad de los datos, puede afectar a cualquier ámbito, tanto físico como digital.
Piense, por ejemplo, en la destrucción de un archivo en papel, o el robo de documentos o, nuevamente, su manipulación y alteración.
Los sujetos afectados por una violación de datos
Una violación de datos representa un evento que, dependiendo de las características específicas del caso individual, puede involucrar a diferentes sujetos.
El responsable del tratamiento es la persona que, de conformidad con el art. 33 GDPR, debe activarse sin demora indebida y, en lo posible, dentro de las 72 horas desde el momento en que se conoció, para notificar la violación al Garante para la protección de datos personales, salvo la hipótesis en la que sea poco probable que la violación de datos personales conlleva un riesgo para los derechos y libertades de las personas. Por el contrario, si la violación presenta altos riesgos para los derechos y libertades de las personas físicas, el titular, siempre sin demora, debe informar también a los interesados. En el caso de que se haya designado a un Encargado del tratamiento cuando tenga conocimiento de una infracción, debe informar de inmediato al propietario para que pueda tomar medidas.
Las causas de una violación de datos
Como se mencionó, la brecha de datos es una brecha de seguridad que implica - accidental o ilegalmente - la destrucción, pérdida, modificación, divulgación no autorizada o acceso a los datos procesados y esto significa, en la práctica, que las medidas de seguridad tomadas no han funcionado. Sin embargo, no debemos caer en el error de asociar automáticamente la violación de datos con la adecuación de las medidas adoptadas para derivar sic et simplicter una responsabilidad (objetiva) del responsable del tratamiento. La cuestión es mucho más compleja, dado que el RGPD no prevé una responsabilidad de este tipo por parte del titular, sino que prevé la posibilidad de que el mismo demuestre que ha hecho todo lo posible para proteger los datos tratados. .
El factor humano y la importancia de la formación
Si por un lado no se puede eliminar totalmente el evento de violación de datos, ya que, como se anticipó, el riesgo cero no existe, por otro lado es necesario cuestionar las estrategias y medidas a adoptar para limitar el riesgo en la mayor medida posible.
Más allá de las medidas técnicas y organizativas “adecuadas”, como en la terminología del Reglamento europeo, una parte importante de la prevención está representada por la formación del personal.
Hasta la fecha, el factor humano todavía representa un talón de Aquiles bastante extendido en muchas realidades, incluso estructuradas y grandes.
La falta de formación adecuada y específica, la ausencia de políticas adecuadas sobre el uso de herramientas y procedimientos de TI, son todavía hoy en día causas bastante generalizadas de filtraciones de datos.
El quid de la cuestión está representado no solo por el tipo de protección adoptada, sino también por los métodos de aplicación de la misma, por la actualización y formación específica que se brinda a los sujetos que procesan los datos.
De hecho, no hay que olvidar que el cumplimiento debe producirse en varios niveles, debe ser transversal y no solo afectar al aspecto técnico y de ciberseguridad, sino también al aspecto organizativo y procedimental en lo que respecta al llamado factor humano.