Los errores internos en las empresas son una de las causas principales por las que se producen las brechas de seguridad

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal y que puede tener un origen accidental o intencionado.

Del Informe de la Agencia Española de Protección de Datos del mes de julio relativo a las brechas de seguridad notificadas, se desprende que la segunda causa por la que se producen esas brechas de seguridad en las empresas es por errores internos de las empresas. Este dato ha ido creciendo desde que la AEPD hace públicos estos informes. Como primera causa, se encuentra todos los meses los ataques externos intencionados.

De los datos se desprende que más del 31% de los incidentes de seguridad que afectan a datos personales se producen por causas internas no intencionadas, de forma que ese porcentaje de brechas de seguridad se reduciría reforzando los controles internos de las compañías, principalmente aumentando la concienciación y formación del personal en torno a la cultura de protección de datos.

El Responsable del Tratamiento, la empresa, está obligado a implantar medidas que cumplan los principios de protección de datos desde el diseño y por defecto. Esto implica adoptar las medidas organizativas adecuadas como es la formación y concienciación del personal. No hay que olvidar además que el principio de responsabilidad proactiva exige una actitud consciente, diligente y proactiva por parte de las empresas. Por tanto, la formación ayudará a la empresa a poder demostrar ante la autoridad de control (AEPD) que cumple con estos principios, básicos en el RGPD.

No formar a las personas que  intervienen en el tratamiento de los datos personales no deja de ser un riesgo de incumplimiento y, por tanto, un riesgo de una sanción económica por parte de la AEPD.

Igualmente, las acciones de formación y concienciación al personal también ayuda a detectar antes las brechas de seguridad y, por tanto, a reducir su número y también minimizar sus consecuencias. Es de vital importancia que los empleados sepan cómo detectar una brecha de seguridad y cómo actuar. No basta con utilizar dispositivos y programas de seguridad, ya que al final son los usuarios los que gestionan los sistemas y la información, convirtiéndose en el eslabón más importante de la cadena.

Las formaciones genéricas deben ir acompañadas, necesariamente, de formación específica en función de los tratamientos de la empresa y en función de los puestos de trabajo.

Igualmente, la formación y concienciación en protección de datos y privacidad no debería quedarse en una mera acción inicial sino que debe ser periódica para, en su caso, asegurarse de que las personas que tratan datos personales conocen sus obligaciones y mantienen sus conocimientos actualizados. Sólo así se conseguirá crear en la empresa una verdadera cultura de protección de datos y privacidad entre sus trabajadores.

 

María Martín Pardo de Vera

mmartin@helasconsultores.com

Responsable de Consultoría y Desarrollo de Negocio

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *