asesoria juridica tecnologia - notificación de violaciones de seguridad con el nuevo rgpd - abogados en madrid y abogados en barcelona

asesoría jurídica RGPD para derecho a la protección de datos

El Reglamento General de Protección de Datos (RGPD - GDPR) define las violaciones de seguridad, conocidas como ‘quiebras o brechas de seguridad’, como "toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a los mismos".

Según esa definición, serían consideradas como brechas de seguridad las siguientes acciones:

  • Pérdida o robo de un dispositivo (smartphone, ordenador portátil, tablet, etc.)
  • Acceso no autorizado a las bases de datos de una organización (incluso por su propio personal)
  • Borrado accidental de ficheros que contengan datos de carácter personal
  • Fuga de información por un ataque en la red corporativa o en la página web
  • Pérdida de documentación con información sensible

abogados para servicio jurídico en rgpd y lopd sobre las notificaciones

En caso de que se produzca una violación de seguridad, el responsable o el encargado de tratamiento deberá comunicar la incidencia al responsable en la mayor brevedad posible para activar los protocolos correspondientes. A ser posible, dentro de las 72 horas siguientes después de haber tenido constancia de dicha violación. Si no es posible hacerlo en el plazo indicado, deberá acompañarse de una indicación donde se especifiquen los motivos de la dilación.

Asimismo, la violación de seguridad deberá comunicarse a:

  • La Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
  • A los propios afectados. En los casos en los que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

Excepciones

Si el responsable puede demostrar la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas, podrá eximirse la comunicación de la violación. Aún y así, el responsable deberá analizar subjetivamente el supuesto concreto y determinar el improbable riesgo.

Así pues, la notificación a los interesados no será necesaria cuando se den alguno de estos hechos:

  • Cuando el responsable haya adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad. En particular, las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado, con posterioridad a la quiebra, medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

abogado experto en derecho de la tecnología y aplicacion LOPD

Procedimiento para notificar una brecha de seguridad

Cuando se produzca una brecha de seguridad se deberán seguir los siguientes pasos:

  • Valoración del riesgo: es diferente del análisis de riesgos previo a los tratamientos. Se pretende determinar hasta qué punto el incidente, por el tipo de datos a los que se refiere o el tipo de consecuencias, puede ocasionar a los afectados un daño en sus derechos o libertades.
  • Evaluación de daños materiales o inmateriales: pueden ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.
  • Cálculo del alcance: se entiende que se tiene conocimiento de una violación de seguridad cuando existe la certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias, no deberían dar lugar a la notificación, dado que en esas condiciones no sería posible evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.
  • Alto riesgo / Gran impacto: en los supuestos en los que por sus características pudieran tener gran impacto, sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos.

El criterio de alto riesgo debe entenderse cuando sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en los que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

abogado madrid y abogado barcelona para pequeñas y medianas empresas, emprendedor, startups y sociedades

Asimismo, el comunicado de la violación a la AEPD, a través de su canal online, debe incluir la naturaleza de la violación, las categorías de datos y de interesados afectados, las medidas adoptadas por el responsable para solventar la quiebra y, si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Sanciones

El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Las multas administrativas serán impuestas en función de las circunstancias de cada caso y se graduarán en función de los criterios recogidos en el RGPD.

Si tienes dudas sobre la aplicación del Reglamento (UE) 2016/679 de Protección de Datos (RGPD-GDPR) y de cómo regular correctamente estos aspectos, puedes contactar con el equipo de profesionales del departamento de protección de datos de GD Legal.

GD Legal: abogados en barcelona y abogados en madrid: blog de actualidad