Una de las novedades que trae el Reglamento General de Protección de Datos (en lo sucesivo, RGPD) es el procedimiento ante violaciones o brechas de seguridad. La Ley Orgánica 15/1999 (en lo sucesivo, LOPD) ya establecía el registro y archivo de incidencias, pero el RGPD, modifica sustancialmente este aspecto.
Antes de analizar los requisitos exigidos por el RGPD ante las violaciones de seguridad, es preciso definir qué entendemos por este concepto. Según el RGPD (artículo 4. 12) se define brecha de seguridad como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Es decir, cualquier incidencia que suframos dentro de nuestras oficinas que suponga pérdida o destrucción será considerada como una brecha de seguridad. Hackeos por parte de terceros, pérdida de un ordenador portátil en traslados, robos, etc. podrían ser considerados como violaciones de seguridad.
El RGPD entiende por violación de seguridad aquellos supuestos donde exista una destrucción o pérdida de datos personales
El artículo 33 del RGPD indica que ante cualquier violación de seguridad que pudiera tener el responsable del tratamiento, se deberá notificar a la autoridad de control (en el caso de España, a la Agencia Española de Protección de Datos), sin dilación indebida en el plazo máximo de setenta y dos (72) horas. El cómputo de este plazo empezará a contar desde (lógicamente) se tiene constancia de ella. En el caso de que el responsable del tratamiento tardase más de este plazo, se deberá acompañar una explicación del motivo de dicha dilación. Asimismo, en este artículo exceptúa de notificar a la autoridad de control, aquellas brechas de seguridad que resulte improbable que dicha violación constituya un riesgo para los derechos y las libertades de las personas físicas. Asimismo, el responsable del tratamiento deberá tener un protocolo en materia de brechas de seguridad, desde el cual, pueda correctamente documentarla.
Toda violación de seguridad ha ser notificada a la autoridad de control en un plazo de 72 horas, salvo que no represente riesgos para los derechos y libertades de las personas físicas
Como criterios para evaluar o determinar si una violación de seguridad resulta relevante, se deberá tener en cuenta el impacto de riesgo para los afectados, el volumen de datos (tratamientos a gran escala), así como si los datos revelados son datos especialmente protegidos por el RGPD. El Considerando 85, establece una serie de criterios a seguir ante violaciones de seguridad. Éstos son la pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona.
En el caso de encargados del tratamiento, tendrán la obligación de notificárselo al responsable del tratamiento. Es por ello, que resulta esencial establecer este aspecto en el contrato como encargado del tratamiento firmado entre las partes.
No obstante, esta notificación puede no quedar aquí. Ante supuestos de alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá comunicar esta violación de seguridad a los afectados de la misma. Esta comunicación deberá ser descrita en un lenguaje claro y sencillo, indicando la naturaleza de la misma y explicando qué medidas se han implantado a efectos internos para paliarla.
Ante supuestos de alto riesgo, el responsable del tratamiento, deberá notificar de forma sencilla a los afectados qué ha sucedido y qué medidas ha implantado para solucionarlo
Resumen de la entrada
- Entendemos como violación de seguridad cualquier pérdida o sustracción de datos personales
- Deberá ser documentada por parte del Responsable del Tratamiento
- Tras un análisis de ésta, si existe riesgo para las personas físicas, se deberá notificar a la AEPD
- En caso de alto riesgo, se deberá comunicar a los afectados
