Para ponernos en situación, el RGPD (Reglamento General de Protección de Datos), en su artículo 33, contempla la obligatoriedad de notificar una brecha de seguridad rgpd (violación de la seguridad de los datos personales).
¿Qué es la brecha de seguridad RGPD?
Podemos definir brecha de seguridad como «parte de un software, secuencia de datos, o de comandos que se aprovecha de un error, de una falla o de una vulnerabilidad para producir un comportamiento involuntario o inesperado en un programa informático, un soporte físico, o algo electrónico (automatizado generalmente)«.
En el caso que nos ocupa las brechas de seguridad producen una violación de la seguridad de los datos personales, tal y como así lo recoge también la AEPD: «posibles errores o fallos de funcionamiento que, en ocasiones, pueden terminar afectando a nuestra información personal, permitiendo que otras personas puedan tener acceso a nuestros datos personales. Esto es lo que se conoce como una “brecha de seguridad” «.
Esta brecha de seguridad puede ocurrir por medio de ataques de phishing (como el que afecta a las cuentas de gmail, o el de apple), troyanos (como el de apple, , cryptolocker (como puede ser el conocido como virus de correos), ransomware (como puede ser el de dispositivos móviles), etc.
Plazos de notificación de la brecha de seguridad RGPD
Cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas, tal y como recoge el mencionado artículo 33 del RGPD, se comunicará dentro de las primeras 72 horas desde que acontece:
- En caso de violación de la seguridad de los datos personales, el responsable del tratamiento (tener en cuenta que no es únicamente el responsable de la seguridad de la empresa, sino el que está realizando el tratamiento de los datos) la notificará a la autoridad de control competente, de ser posible a más tardar 72 horas después de que haya tenido constancia de dicha violación, a menos que sea improbable que dicha violación constituya un riesgo para los derechos y las libertades de las personas físicas. En el caso de que la notificación no se comunica en el plazo de 72 horas, se deberán indicar los motivos de la dilatación.
¿Quién debe notificar la brecha de seguridad RGPD?
El “encargado del tratamiento” es la Persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Contenido de la notificación de la brecha de seguridad RGPD
- La notificación deberá contener, como mínimo:
- Una descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo, si es posible, las categorías y el número de intereses afectados, y el número de registros de datos personales afectados. Aunque sea una estimación.
- Se deberá comunicar los datos de contacto del delegado de protección de datos (DPO) o de otro punto de contacto con el fin de obtener más información.
- Descripción de las consecuencias posibles de la violación de la seguridad ocurrida.
- Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a lo ocurrido y, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- En el caso de no ser posible comunicar la totalidad de la información, se facilitará de manera gradual sin dilación indebida.
- El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Sanción administrativa RGPD
Debemos tener en cuenta que, además de que el incumplimiento de los requerimientos expuestos en el Reglamento General de Protección de Datos puede acarrear a la empresa una multa administrativa superior a los 10 millones de euros (o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior).
No debemos olvidar que estos incidentes de seguridad suelen acarrear consecuencias muy negativas en lo que efectos reputacionales se refiere.
Recomendación brecha de seguridad RGPD
Nuestra recomendación para su empresa es implantar siempre medidas de seguridad, así como los protocolos de notificación de brechas de seguridad.
La implantación del Esquema Nacional de Seguridad así como la implantación de la Norma ISO 27001 en su entidad garantizará el cumplimiento de estas obligaciones adoptando las medidas de seguridad para evitar ser objeto de ciberataques y filtraciones de datos personales no autorizadas.