Autor: Judith Cabrafiga. Abogada en Derecho.com
¡Qué no cunda el pánico! Cuando en la empresa escuchamos hablar de “brecha de seguridad” se genera un momento de incertidumbre y temor sobre las consecuencias reputacionales y económicas, entre otras, que dicha brecha de seguridad puede acarrearnos, sin saber tan siquiera si estamos realmente o no ante una violación de la seguridad. Por ello, es muy importante, además de asesorarse por un abogado especialista en protección de datos, saber identificar qué incidentes son brechas de seguridad y cómo actuar en caso de que se produzcan.
El Reglamento General de Protección de Datos (RGPD) define como brecha de seguridad “toda violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Por lo tanto, todo incidente, intencionado o no, que afecte a datos de carácter personal será considerado una brecha de seguridad. En caso contrario no podemos hablar de una violación de la seguridad bajo la luz del Reglamento General de Protección de Datos.
Ante una brecha de seguridad hay que actuar según el daño producido por la misma, debiendo tener un registro interno, notificar a la autoridad de control e incluso comunicarlo a los interesados –en aquellos casos que resulte necesario-, tal y como se explicará a continuación.
A modo informativo y antes de entrar a analizar cómo actuar ante una brecha de seguridad, cabe describir los tipos de brechas de seguridad que podemos encontrar:
- Brecha de confidencialidad: es el acceso o revelación, no autorizado o accidental, de datos.
- Brecha de integridad: es la alteración de los datos, no autorizada o accidental.
- Brecha de disponibilidad: es la destrucción o pérdida, no autorizada o accidental, de datos.
En el momento en que un Responsable del tratamiento tiene conocimiento de que se ha producido una brecha de seguridad lo primero que debe hacer es dejar constancia de dicha brecha de seguridad en su registro interno, sea cual fuere el tipo, el alcance de la misma y el grado de riesgo que entrañe. Posteriormente debe analizar el impacto de la mencionada violación de seguridad para determinar si debe o no notificar a la autoridad de control que, para España, será la Agencia Española de Datos (AEPD). Esta notificación a la AEPD debe realizarse sin dilación indebida y, a más tardar, en un plazo no superior a 72 horas desde que tiene constancia de la existencia de dicho incidente. La comunicación deber realizarse a través del formulario destinado a tal efecto que se encuentra publicado en la sede electrónica de la Agencia. En cualquier caso, esta notificación no tendrá el carácter de obligatoria si el Responsable del tratamiento puede demostrar que la violación de seguridad no implica un riesgo para los derechos y libertades de los interesados.
Sin embargo, cuando existe un riesgo y, además, éste es alto, el Responsable del tratamiento deberá comunicarlo, además, a las personas físicas que han sido afectadas por la brecha de seguridad. Dicha comunicación deberá tener la siguiente información mínima: datos de contacto del Delegado de Protección de Datos o del punto de contacto donde pueda obtenerse información, según corresponda; descripción general del incidente y momento en que se ha producido; descripción de los datos e información personal afectados; consecuencias para los datos personales afectados y medidas implantadas para controlar los posibles daños.
Para la toma de decisión relacionada con la notificación a la AEPD y la comunicación a los interesados sobre una brecha de seguridad, la propia AEPD ha elaborado una fórmula con fines orientativos para los Responsables del tratamiento que tiene en cuenta tres parámetros: el volumen de registros afectados, la tipología de datos afectados y el impacto de la violación de seguridad. Es recomendable contar con un especialista en protección de datos para la aplicación de dicha fórmula y la toma de decisión relacionada con la notificación de una brecha de seguridad, todo ello con el fin de actuar diligentemente y evitar posibles sanciones.
En definitiva, ante una violación de seguridad, el Responsable del tratamiento deberá siempre llevar un registro interno y, sirviéndose del asesoramiento de un abogado experto en protección de datos, determinar si resulta necesario notificar a la AEPD y, en caso de que existiese un riesgo relevante, comunicar el incidente a los afectados. ______________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02 o bien escribiéndonos a legal@derecho.com
Disculpa, debes iniciar sesión para escribir un comentario.