El RGPD nos describe una brecha de seguridad de datos personales incluye cualquier destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos.
Debe quedar claro, tal como indica el Grupo de Trabajo del Artículo 29 (WP29), que la “violación” a la que se refiere el RGPD, aun siendo un tipo de incidente de seguridad, solo se aplica en la medida en que afecte a datos de carácter personal, y en consecuencia dicho incidente pueda comprometer al responsable del tratamiento en el cumplimiento de los principios del RPGD.
Las brechas de seguridad pueden ir desde que nuestro sistema de información se venga abajo hasta un robo masivo de datos en alguna base de datos o la simple pérdida de un teléfono móvil o portátil que contenga datos de los interesados.
Por tanto, se debe tener en cuenta que, aunque todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente brechas de datos personales.
En el caso de que exista un encargado del tratamiento, este deberá notificarla al responsable del tratamiento con la mayor inmediatez. Dicho responsable es quien tendrá la obligación de comunicarla a la Autoridad de Control, y a los interesados si fuera necesario.
¿Cómo debemos notificarla?
El Reglamento Europeo de Protección de Datos no indica la forma en la que deben producirse las notificaciones sobre violaciones de seguridad. Forma parte de la responsabilidad de cada organización el desarrollar sus propias políticas internas relacionadas con el proceso de comunicación a los interesados en caso de violaciones de seguridad que necesiten ser notificadas.
En nuestro caso, la Agencia Española de Protección de Datos ha establecido un canal para la notificación de quiebras de seguridad en el ámbito de las comunicaciones electrónicas.
Aunque no todas las violaciones de seguridad deben ser comunicadas, solo aquellas en las que es probable que exista un riesgo para los derechos y libertades de las personas físicas.
¿Qué plazo tenemos para notificarlas?
Las violaciones de seguridad deben ser reportadas dentro de las 72 horas desde que dicha violación de seguridad es conocida por el responsable, y la cuantía de las multas administrativas impulsa a las organizaciones a cumplir con este requisito.
Las multas administrativas tratándose de una empresa, pueden ser de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
En los casos en los que no pueda notificarse una violación de seguridad dentro de las 72 horas debido a la complejidad a la hora de determinar el alcance de la misma, se podrá notificar posteriormente acompañando dicha notificación de una explicación respecto al retraso de la misma.
¿Cuándo se debe comunicar a los interesados?
Cuando se tenga constancia de una violación de seguridad: hay certeza de que ha ocurrido y existe conocimiento sobre la naturaleza y el alcance de dicha violación de seguridad.
El criterio de alto riesgo ha de interpretarse como la posibilidad de que la violación de seguridad ocasione daños de entidad a los interesados, como por ejemplo aquellos en los que se desvele información confidencial como contraseñas o participación en determinadas actividades, en los que se difundan datos sensibles de forma masiva o en los que se puedan producir perjuicios económicos para los afectados.
La simple sospecha de que se ha producido una violación de seguridad no daría lugar a la obligación de notificación del incidente ya que precisamente el desconocimiento de las circunstancias de la violación de seguridad hace imposible señalar el riesgo para los derechos y las libertades del interesado.
Por tanto, podemos resumir el proceso de comunicación en los siguientes puntos:
- Registrar la incidencia detectada.
- Analizar si existe un riesgo para los afectados
- Informar a los interesados.
- Notificar a la Autoridad de Control.