Protocolo de Gestión de Brechas de Seguridad
Club de Ajedrez de Otura - Conforme al Art. 33 y 34 RGPD
1. Objeto y Ámbito de Aplicación
Este protocolo establece los procedimientos a seguir por el Club de Ajedrez de Otura ante cualquier brecha de seguridad que afecte a datos personales, en cumplimiento del Reglamento General de Protección de Datos (RGPD) UE 2016/679.
Definición: Una brecha de seguridad de datos personales es toda violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, o la comunicación o acceso no autorizado a datos personales.
2. Detección e Identificación
Cualquier persona que detecte o sospeche de una brecha de seguridad debe:
Comunicar inmediatamente
Notificar al responsable de protección de datos o administrador del club.
Documentar la incidencia
Registrar fecha, hora, cómo se detectó, descripción inicial y sistemas afectados.
No manipular evidencias
Preservar los sistemas afectados para su análisis forense si es necesario.
3. Evaluación y Clasificación
Una vez detectada la brecha, se evaluará según los siguientes criterios:
| Nivel | Riesgo | Descripción | Acción |
|---|---|---|---|
| BAJO | Mínimo | Sin impacto significativo en derechos | Registro interno |
| MEDIO | Moderado | Posible impacto limitado | Notificar AEPD |
| ALTO | Significativo | Impacto probable en derechos | Notificar AEPD + Afectados |
| CRÍTICO | Severo | Daño grave y directo | Acción inmediata + Todas las notificaciones |
4. Notificación a la AEPD (72 horas)
Cuando la brecha constituya un riesgo para los derechos y libertades de las personas, se notificará a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde su conocimiento.
La notificación incluirá:
- • Naturaleza de la brecha y categorías de datos afectados
- • Número aproximado de afectados
- • Datos del responsable de protección de datos
- • Consecuencias probables de la brecha
- • Medidas adoptadas o propuestas para remediar la brecha
Portal de notificación: https://sedeagpd.gob.es
5. Comunicación a los Afectados
Cuando la brecha entrarñe un alto riesgo para los derechos y libertades de las personas físicas, se comunicará a los afectados sin dilación indebida.
La comunicación incluirá:
- • Descripción clara de la naturaleza de la brecha
- • Datos de contacto del responsable
- • Consecuencias probables
- • Medidas adoptadas y recomendaciones para mitigar efectos
Excepciones: No será necesaria la comunicación si se han adoptado medidas de protección técnicas que hagan ininteligibles los datos (ej: cifrado) o si supone un esfuerzo desproporcionado (en cuyo caso se hará comunicación pública).
6. Medidas de Contención y Remediación
Según el tipo de brecha, se aplicarán las siguientes medidas:
Inmediatas
- • Aislar sistemas comprometidos
- • Cambiar credenciales de acceso
- • Revocar sesiones activas
- • Activar copias de seguridad
A Medio Plazo
- • Análisis forense completo
- • Parchear vulnerabilidades
- • Reforzar controles de acceso
- • Formación al personal
7. Registro y Documentación
Todas las brechas de seguridad, independientemente de su gravedad, serán documentadas en el registro interno del club, incluyendo:
- • Fecha y hora de detección
- • Descripción de los hechos
- • Datos y personas afectadas
- • Efectos de la brecha
- • Medidas correctivas adoptadas
- • Notificaciones realizadas (AEPD, afectados)
- • Fecha de cierre y resolución
Este registro se conservará durante un mínimo de 5 años y estará disponible para la AEPD en caso de inspección.
8. Revisión y Mejora Continua
Tras cada incidente, se realizará un análisis post-mortem para:
- • Identificar la causa raíz
- • Evaluar la eficacia de la respuesta
- • Proponer mejoras en los procesos
- • Actualizar este protocolo si es necesario
Este protocolo será revisado al menos anualmente o tras cualquier incidente significativo.
Última revisión: Marzo 2026