La Agencia Andorrana de Protección de Datos recuerda a los responsables el deber de notificar brechas en 72 horas
La APDA emite directrices sobre la notificación de brechas de datos personales en 72 horas si existen riesgos para los derechos, ante posible ciberataque a un centro comercial.
Claves
- Notificar a la APDA en 72 horas las brechas de riesgo, detallando naturaleza, datos e impactos.
- Las brechas incluyen errores humanos como correos mal enviados, dispositivos perdidos o accesos no autorizados.
- Contener la brecha con rapidez, documentar la respuesta; notificar a personas en casos de alto riesgo.
- Recordatorio tras el sospechoso ciberataque a un centro comercial que afecta a proveedores y clientes.
La Agencia de Protección de Datos de Andorra (APDA) ha emitido directrices que recuerdan a los responsables de datos su obligación de notificar las brechas de seguridad en un plazo de 72 horas, salvo que el incidente no suponga probablemente un riesgo para los derechos y libertades de las personas.
Una brecha de datos personales surge de cualquier evento accidental o ilícito que cause la destrucción, pérdida, alteración, divulgación no autorizada o acceso a dichos datos, afectando potencialmente a su confidencialidad, integridad o disponibilidad. La APDA ha enfatizado que estos incidentes van más allá de los ciberataques e incluyen errores humanos, pérdida de documentos u otras amenazas a la seguridad de los datos.
Entre los ejemplos figuran el envío de correos electrónicos con datos personales al destinatario equivocado, no utilizar copia oculta al compartir información con varias partes, pérdida o robo de dispositivos, acceso no autorizado a bases de datos o carpetas compartidas, publicación indebida de datos personales o cambios o eliminaciones accidentales. La indisponibilidad temporal o permanente de los datos también se considera una brecha.
Los responsables deben notificar las brechas a la APDA en un plazo de 72 horas si presentan un riesgo probable, aportando detalles sobre la naturaleza del incidente, los tipos de datos afectados y las posibles consecuencias. Deben actuar con rapidez para contener la brecha, evaluar su impacto, restaurar el acceso y documentar la respuesta. Los incidentes de alto riesgo requieren una notificación directa a las personas afectadas en un lenguaje claro. La omisión de notificar cuando sea requerido constituye una infracción grave, que puede dar lugar a sanciones.
La APDA ha emitido este recordatorio en medio de informaciones sobre un posible ciberataque a un conocido centro comercial, que la información inicial sugiere que podría haber afectado a numerosos proveedores y clientes. No se han divulgado detalles adicionales sobre la magnitud o el contexto del incidente.
Fuentes originales
Este articulo se agrego a partir de las siguientes fuentes en catalan: