NOTIFICACIÓN DE BRECHAS DE SEGURIDAD DE LOS DATOS
El RGPD define las brechas o violaciones de seguridad (quiebras de seguridad), como todo incidente que ocasione la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Algunos ejemplos pueden ser la pérdida de una tableta o Smart Phone, el acceso no autorizado a las bases de datos de la empresa por personal interno o ajeno a la entidad o el borrado de registros constituyen este tipo de “brechas de seguridad” y deben afrontarse como dicta el RGPD.
OBLIGACIONES
En el momento que se produzca la brecha de seguridad de los datos, el responsable debe notificarla a la autoridad de control a no ser que no suponga un riesgo para los derechos y libertados de los afectados.
Esta notificación a la autoridad de control debe realizarse sin dilación indebida, es decir la tardanza sin excusa, y a ser posible en las siguientes 72 horas desde que el responsable ha tenido constancia de la misma.
La notificación debe incluir como mínimo:
• La naturaleza de la brecha de seguridad
• Categorías de datos y de interesados afectados
• Las medidas que adoptará el responsable para solventar la quiebra
• Si procede, los responsable recomendarán las medidas orientadas a disminuir los posibles efectos negativos sobre interesados
Los responsables deben documentar TODAS las quiebras de seguridad. Si la quiebra de seguridad supone un alto riesgo para los derechos y libertades de los interesados, el responsable aparte de realizar la comunicación a la autoridad de control deberá notificar a los interesados la quiebra de seguridad.
El objetivo de esta notificación es para que los afectados puedan tomar medidas para protegerse de sus consecuencias. El RGPD obliga a que se realice sin dilación indebida, sin hacer referencia ni al momento que se tenga constancia de ella, ni tampoco a efectuar la notificación dentro del plazo de 72 horas, todo esto para la rápida actuación del afectado y tome medidas las oportunas.
A TENER EN CUENTA
La valoración del riesgo de la quiebra de seguridad es diferente del análisis de riesgos previo a todo tratamiento. Trata de aclarar hasta qué punto el incidente, por sus características, tipo de datos o el tipo de consecuencias que tendrá para los afectados puede causar daño a sus derechos y libertades.
Los daños producidos pueden ser materiales o inmateriales pudiendo ir desde la consecuencia producida al afectado por una usurpación de identidad, pasando por perjuicios económicos o vulneración de su derecho al honor por exponer sus datos confidenciales.
La confirmación de que se ha producido una brecha de seguridad se da cuando se tiene la certeza de que ha ocurrido y se tiene conocimiento de su naturaleza y alcance.
La sola contratación a sospecha de que se ha producido la brecha sin conocer las circunstancias no debería dar lugar a la notificación, de momento, ya que no sería posible evaluar el riesgo que pudiera existir para los derechos y las libertades de los interesados.
En las ocasiones de que la quiebra pudiera tener gran impacto por sus características, es recomendable poner en conocimiento de la autoridad de control el hecho en el momento de tener evidencias. Más tarde se puede completar la comunicación por una notificación formal más completa dentro de los plazos establecidos.
Si se da el caso de que no es posible realizar la notificación dentro de las 72 horas, por la dificultad en valorar el alcance, se podrá notificar con posterioridad explicando los motivos del retraso.
También se podrá informar de forma escalonada si no es posible hacerlo en el momento de la notificación.
El denominado “criterio de alto riesgo” comprende a aquel en que la brecha de seguridad ocasiones daños de entidad a los interesados, como por ejemplo la revelación de información confidencial, difusión masiva de datos sensibles o que se produzcan perjuicios económicos a los interesados.
La notificación a los interesados no será necesaria cuando:
- El responsable aplique medidas técnicas y organizativas con anterioridad a la brecha de seguridad, concretamente las medidas que hagan ininteligibles los datos a terceros como el cifrado.
- Si el responsable ha tomado, con posterioridad a la brecha, medidas técnicas que garanticen la imposibilidad de que el alto riesgo se materialice.
- Si la notificación supone un esfuerzo desproporcionado, se tomaran medidas alternativas como puede ser una comunicación pública.
