Los responsables y encargados del tratamiento quedan sometidos a una nueva obligación. La notificación de violaciones de seguridad de los datos personales.
Esta obligación se divide en dos comunicaciones diferentes. Por un lado, a las autoridades de control y por otro a los afectados.
Los encargados del tratamiento también están obligados a notificar a los responsables del tratamiento.
En caso de que exista un DPO en la entidad, éste sería el obligado a realizar esa notificación.
Aquí te explico el proceso.
La violación de seguridad se define como “toda brecha de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos” (art. 4.12 del RGPD).
Por tanto, se trata de acontecimientos como accesos no autorizados a repositorios de datos sensibles también son violaciones de seguridad.
El responsable del tratamiento que sufra una brecha de seguridad que constituya un riesgo para los derechos y las libertades de las personas físicas tiene la obligación de comunicarla sin dilación indebida. Y de ser posible, en no más de 72 horas desde que tenga constancia de la misma.
Se deberá comunicar a la autoridad de control competente, que en el caso español es la Agencia Española de Protección de Datos (AEPD). O la autoridad autonómica en el caso de entidades que estén bajo su ámbito competencia.
Esta comunicación únicamente será necesaria cuando suponga un riesgo para los derechos y libertades de las personas, en la medida que puedan suponer:
Por el contrario, no será necesario comunicar la brecha de seguridad cuando exista una baja probabilidad de que el riesgo se materialice y que tenga un impacto para el interesado.
Las brechas de seguridad deberán ser estudiadas caso por caso. Y deberá existir un procedimiento muy claro dentro de la organización. Con las responsabilidades muy definidas para poder dar una respuesta eficaz a la violación y a la comunicación.
En los últimos años hemos sido testigos de este tipo de comunicaciones por parte de grandes organizaciones que vieron comprometidos datos bancarios de miles de sus usuarios.
Una comunicación a tiempo puede al menos ayudar a mitigar los daños reputacionales, la transparencia es un valor.
La violación de datos personales deberá ser comunicada a los interesados de un modo claro y sencillo, sin dilación indebida cuando pueda entrañar un alto riesgo para sus derechos y libertades.
La finalidad de esta comunicación es facilitar al interesado la posibilidad de tomar las precauciones necesarias. Y así evitar consecuencias mayores debido a la violación de los datos personales.
La notificación a la Autoridad de Control, como mínimo, contendrá:
Además, el responsable del tratamiento debe documentar cualquier violación de seguridad (art. 33.5 RGPD), por lo que será necesario que los responsables del tratamiento mantengan un registro interno, que con la normativa previa era el conocido como “registro de incidencias”.
La comunicación de una violación de la seguridad de los datos a los interesados deberá describir, con un lenguaje claro y sencillo, la naturaleza de la violación y contendrá, como mínimo, la siguiente información:
Existen una serie de excepciones en virtud de las que no es necesario comunicar una violación de la seguridad de los datos a los interesados:
No obstante, el responsable del tratamiento tendrá siempre la obligación de documentar las violaciones de la seguridad de los datos. Incluyendo también los hechos relacionados con estas, sus efectos, así como las medidas correctivas que haya adoptado.
Esta documentación estará a disposición de la autoridad de control que, si lo considera oportuno en atención a la probabilidad de que la violación implique un alto riesgo para los interesados, podrá ordenar al responsable que lo comunique a los interesados.
Tampoco será necesario notificar una violación de la seguridad de los datos personales a la autoridad de protección de datos cuando “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas”.
El Comité Europeo de Protección de Datos (CEPD) publicó sus directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el RGPD.
En estas directrices el CEPD, siguiendo un documento previo del Grupo de Trabajo del artículo 29, clasifica las violaciones, atendiendo a los principios de seguridad de la información, de la siguiente manera:
Además de analizar las previsiones del RGPD, respectivamente, en relación con la notificación de la violación de la seguridad de los datos a la autoridad de control y la comunicación al afectado, el CEPD se refiere expresamente a la necesidad de llevar un registro de las violaciones de la seguridad, con independencia de que tengan que notificarse y/o comunicarse, por el responsable. Lo que está vinculado al principio de responsabilidad proactiva (“accountability”).
Y se refiere también a la obligación de notificación en virtud de otras normas del Derecho de la Unión Europea.
Como el Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. O la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva RSI).
Por último, en su anexo incluye un diagrama de flujo con los requisitos aplicables a la notificación de una violación de la seguridad de los datos personales. Y una lista ejemplificativa de violaciones, así como a quién habría que notificarlas, ya sea tanto la autoridad de control y, en su caso, al afectado.
La nueva LOPDGDD, aprobada en España en diciembre de 2018, regula el tratamiento de datos relacionado con la notificación de incidentes de seguridad.
Indica que cuando se notifique un incidente de seguridad, podrán tratarse los datos personales contenidos en esa notificación por:
Pero solo podrán tratarse durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta ante incidentes. Y adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo determinado.
El incumplimiento del deber de notificar estas violaciones de seguridad podrá suponer, en el caso de las empresas u otras organizaciones del sector privado, la imposición de una multa de hasta 10 millones de euros o el 2% de los ingresos totales anuales de la entidad.
Es por ello muy importante que todo el personal sea consciente de qué es una incidencia relacionada con protección de datos, en caso de que dé lugar a una violación. Y qué debe hacer si la detecta.
En España, la AEPD ha adoptado el canal de comunicación de brechas de seguridad existente en el ámbito de las comunicaciones electrónicas para las violaciones en materia de protección de datos.
Como ves, no es ninguna broma.
Prepárate para evitar incidentes de seguridad y, si se producen, para notificarlos.