Ciberseguridad

�Los datos personales pueden verse afectados por ciberincidentes?

Los datos personales muchas veces son tratados a través de redes y sistemas de información, las cuales deben ser fiables y seguras.
Estas redes y sistemas son cruciales para el correcto desempeño de nuestra sociedad, ya que el desarrollo normal de actividades económicas y sociales está muchas veces basado en su utilización, siendo su seguridad y fiabilidad esenciales.
Los incidentes de seguridad (sucesos no deseados o inesperados que causan un detrimento en la seguridad de las redes y sistemas de información) afectan a dichas redes y sistemas (lo que comúnmente se conoce por ciberincidente), lo que puede representar una grave amenaza; por ello, es necesario adoptar medidas adecuadas para gestionar los riesgos que se plantean, se debe tener en cuenta que estos incidentes de seguridad pueden ser tanto intencionados como fortuitos.

�Los ciberincidentes que afecten a datos personales se deben notificar a la autoridad de control?01

En el ámbito de la protección de datos los incidentes de seguridad que sufran las redes y sistemas de información y que afecten a tratamientos con datos personales también se deben notificar a la autoridad de control; para las entidades bajo el ámbito de actuación de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, se deben notificar a dicha autoridad.

Cuando hablamos de la “seguridad de las redes y sistemas de información” nos referimos a la capacidad de estas de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa las garantías de disponibilidad, autenticidad, integridad o confidencialidad de los datos (almacenados, transmitidos o tratados), o los servicios (bien ofrecidos por tales redes y sistemas de información, o bien accesibles a través de ellos).
Se entiende por riesgo toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de información y se puede cuantificar como la probabilidad de que se materialice una amenaza que produzca un impacto en términos de operatividad, de integridad física de personas o material o de imagen.
Las entidades, operadores de servicios digitales, y proveedores de servicios digitales, deben adoptar medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios.