asesoria juridica tecnologia - notificación de violaciones de seguridad con el nuevo rgpd - abogados en madrid y abogados en barcelona

El Reglamento General de Protección de Datos (RGPD - GDPR), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos, incluye diversas novedades como la obligatoriedad de notificar a la autoridad de control las violaciones de seguridad. 

En este sentido, el RGPD define las violaciones de seguridad de los datos, conocidas como ‘quiebras o brechas de seguridad’, de una forma muy amplia. En concreto, determina que sería "toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a los mismos".

Siguiendo en esta línea, algunas de las acciones que se considerarían brechas de seguridad serían las siguientes:

  • Pérdida o robo de un dispositivo (smartphone, ordenador portátil, tablet, etc.)
  • Acceso no autorizado a las bases de datos de una organización (incluso por su propio personal)
  • Borrado accidental de ficheros que contengan datos de carácter personal
  • Fuga de información por un ataque en la red corporativa o en la página web
  • Pérdida de documentación con información sensible

 

Daños que puede ocasionar una violación de seguridad

Si no se toman a tiempo las medidas adecuadas, las violaciones de seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas. Un ejemplo de ello sería:

  • La pérdida de control sobre los datos personales
  • La restricción de los derechos
  • La discriminación
  • La usurpación de identidad
  • Las pérdidas económicas
  • La reversión no autorizada de la seudonimización
  • Los daños de reputación
  • La pérdida de confidencialidad de datos sujetos al secreto profesional
  • Otros perjuicios económicos o sociales significativos para las personas físicas

 

¿Quién debe comunicar una violación de seguridad?

Si se produce una violación de seguridad, el responsable del tratamiento o, en su caso, el encargado de tratamiento, cuando tenga conocimiento de este hecho, deberá comunicar la incidencia al responsable en la mayor brevedad posible para activar los protocolos correspondientes, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La comunicación deberá realizarse, a ser posible, dentro de las 72 horas siguientes después de haber tenido constancia de dicha violación.

Si no es posible realizarla en el plazo indicado, deberá acompañarse de una indicación donde se especifiquen los motivos de la dilación, pudiendo facilitarse la información por fases.

 

¿A quién debe comunicarse?

La violación de seguridad deberá comunicarse a:

  • La Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

 

  • A los propios afectados. En los casos en los que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias. Por ello, el RGPD requiere que se realice, sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es que el interesado afectado pueda reaccionar tan pronto como sea posible.

Por su parte, la UE elaborará un formulario estandarizado, a nivel europeo, para facilitar a los responsables la presentación de unas notificaciones completas, según los criterios del RGPD, para que se efectúen de forma coordinada en toda la Unión Europea. Además, la AEPD tiene previsto activar un canal específico para este tipo de notificaciones en su página web, dentro de la sede electrónica.

 

Excepciones

Si el responsable puede demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas, podrá eximirse la comunicación de la violación. Aún y así, el responsable deberá analizar subjetivamente el supuesto concreto y determinar el improbable riesgo.

Así pues, la notificación a los interesados no será necesaria cuando se den alguno de estos hechos:

  • Cuando el responsable haya adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad. En particular, las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.

 

  • Cuando el responsable haya tomado, con posterioridad a la quiebra, medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.

 

  • Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

 

Criterios para valorar la notificación del incidente

A la hora de decidir si debe notificarse un determinado incidente de seguridad, hay que tener en cuenta los siguientes factores:

  • El potencial daño para los datos de los interesados. Es decir, las formas en las que el potencial daño puede materializarse (robo de identidad o fuga de datos sobre aspectos privados de la vida de personas físicas como por ejemplo sus circunstancias económicas).

 

  • El volumen de datos personales afectados: se tendrá que evaluar en relación con el tipo de datos objeto de la brecha de seguridad.

 

  • La verificación de si los datos afectados se encuadran dentro de los especialmente sensibles.

 

Procedimiento para notificar una brecha de seguridad

Si se produce una brecha de seguridad, se deberán seguir los siguientes pasos para informar a la AEPD:

  • Valoración del riesgo: valorar el riesgo de la brecha de seguridad es diferente del análisis de riesgos previo a los tratamientos. Se pretende determinar hasta qué punto el incidente, por el tipo de datos a los que se refiere o el tipo de consecuencias, puede ocasionar a los afectados un daño en sus derechos o libertades.

 

  • Evaluación de daños materiales o inmateriales: los daños pueden ser materiales o inmateriales. Asimismo, pueden ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

 

  • Cálculo del alcance: se entiende que se tiene conocimiento de una violación de seguridad cuando existe la certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias, no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.

 

  • Alto riesgo / Gran impacto: en los supuestos de brechas que por sus características pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos.

Puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad de determinar completamente su alcance. En esos casos, sería posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso.

El criterio de alto riesgo debe entenderse cuando sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en los que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

  • Comunicado de la violación a la AEPD a través de su canal online:

En contenido mínimo que debe incluir el comunicado es el siguiente:

  • La naturaleza de la violación
  • Categorías de datos y de interesados afectados
  • Medidas adoptadas por el responsable para solventar la quiebra
  • Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

Si no fuera posible facilitar la información indicada anteriormente de forma simultánea, dicha información deberá facilitarse a la Autoridad de Control de manera gradual y sin dilación indebida.

 

Sanciones

El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2%, como máximo, del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Las multas administrativas serán impuestas en función de las circunstancias de cada caso y se graduarán en función de los criterios recogidos en el RGPD.

Si tienes dudas sobre la aplicación del Reglamento (UE) 2016/679 de Protección de Datos (RGPD-GDPR) y de cómo regular correctamente estos aspectos, puedes contactar con el equipo de profesionales del departamento de protección de datos de GD Legal.