El Reglamento General de Protección de Datos (RGPD - GDPR) define las violaciones de seguridad,
conocidas como ‘quiebras o brechas de seguridad’, como "toda violación
que ocasione la destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o
la comunicación o acceso no autorizado a los mismos".
Según esa definición, serían consideradas como brechas de seguridad las siguientes acciones:
- Pérdida o robo de un dispositivo (smartphone, ordenador portátil, tablet, etc.)
- Acceso no autorizado a las bases de datos de una organización (incluso por su propio personal)
- Borrado accidental de ficheros que contengan datos de carácter personal
- Fuga de información por un ataque en la red corporativa o en la página web
- Pérdida de documentación con información sensible
En caso de que se produzca una violación de seguridad, el
responsable o el encargado de tratamiento deberá comunicar la incidencia
al responsable en la mayor brevedad posible para activar los protocolos
correspondientes. A ser posible, dentro de las 72 horas siguientes
después de haber tenido constancia de dicha violación. Si no es posible
hacerlo en el plazo indicado, deberá acompañarse de una indicación
donde se especifiquen los motivos de la dilación.
Asimismo, la violación de seguridad deberá comunicarse a:
- La Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
- A los propios afectados. En los casos en los que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
Si el responsable puede demostrar la improbabilidad de que la
violación de la seguridad de los datos personales entrañe un riesgo para
los derechos y las libertades de las personas físicas, podrá eximirse
la comunicación de la violación. Aún y así, el responsable deberá
analizar subjetivamente el supuesto concreto y determinar el improbable
riesgo.
Así pues, la notificación a los interesados no será necesaria cuando se den alguno de estos hechos:
- Cuando el responsable haya adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad. En particular, las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
- Cuando el responsable haya tomado, con posterioridad a la quiebra, medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.
PROCEDIMIENTO PARA NOTIFICAR UNA BRECHA DE SEGURIDAD
Cuando se produzca una brecha de seguridad se deberán seguir los siguientes pasos:
- Valoración del riesgo: es diferente del análisis de riesgos previo a los tratamientos. Se pretende determinar hasta qué punto el incidente, por el tipo de datos a los que se refiere o el tipo de consecuencias, puede ocasionar a los afectados un daño en sus derechos o libertades.
- Evaluación de daños materiales o inmateriales: pueden ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.
- Cálculo del alcance: se entiende que se tiene conocimiento de una violación de seguridad cuando existe la certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias, no deberían dar lugar a la notificación, dado que en esas condiciones no sería posible evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.
- Alto riesgo / Gran impacto: en los supuestos en los que por sus características pudieran tener gran impacto, sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos.
El criterio de alto riesgo debe entenderse cuando
sea posible que la brecha de seguridad produzca daños importantes a los
interesados. Por ejemplo, en casos en los que se desvele información
confidencial, como contraseñas o participación en determinadas
actividades, se difundan de forma masiva datos sensibles o se puedan
producir perjuicios económicos para los afectados.
Asimismo, el comunicado de la violación a la AEPD, a través de su canal online, debe incluir la naturaleza de
la violación, las categorías de datos y de interesados afectados, las
medidas adoptadas por el responsable para solventar la quiebra y, si
procede, las medidas aplicadas para paliar los posibles efectos
negativos sobre los interesados.
SANCIONES
El incumplimiento de la obligación de notificar las violaciones de
seguridad por parte del responsable del tratamiento se considera infracción grave y
puede ser sancionada con multas administrativas de 10 millones de euros
como máximo o, tratándose de una empresa, de una cuantía equivalente al
2% del volumen de negocio total anual global del ejercicio financiero
anterior, optándose por la de mayor cuantía.
Las multas administrativas serán impuestas en función de las
circunstancias de cada caso y se graduarán en función de los criterios
recogidos en el RGPD.
Fuente: GDLEGAL.
