Recordamos que una brecha de seguridad es, según el art. 4 RGPD, “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Hemos de tener en cuenta que en todas las entidades pueden suceder incidentes de seguridad y por ello hay que gestionar dichos incidentes.

El art. 33.5 RGPD nos dice que “El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo”.

Por tanto, el responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes de seguridad y es recomendable que tengan un procedimiento de respuesta ante incidentes de seguridad.

 

Una vez confirmada la incidencia debemos de notificarla obligatoriamente, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas física, según lo mencionado en el art. 33.1 RGPD, a tres entes principales:

A la Autoridad de Control, la notificación a la Autoridad de Control correspondiente debe efectuarse en las primeras 72 horas, desde el momento que se tiene constancia de la incidencia. Ahora bien, si en el momento de la notificación no fuese posible facilitar toda la información, podrá entregarse posteriormente de forma gradual, en varias fases.

Cuando el responsable efectúe la primera notificación, deberá informar si proporcionará más información posteriormente. También podrá aportar información adicional mediante comunicaciones intermedias a la autoridad de control bajo petición de esta, o cuando el responsable considere adecuado actualizar la situación de la misma.

Notificación al interesado, el art. 34 RGPD hace referencia a la comunicación a los interesados “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.”

Por tanto, en el supuesto de que la brecha de seguridad entrañe un alto riesgo para los derechos de las personas físicas, el responsable ha de notificar al interesado.

Ahora bien, hay diversos factores a tener en cuenta para decidir si se va a comunicar a los interesados o no, siguiendo las directrices de la AEPD y como tal:

  • Cuáles son las obligaciones legales y contractuales.
  • Riesgos que comporta la pérdida de los datos.
  • Existe un riesgo razonable de suplantación de identidad o fraude.
  • El punto en que la persona afectada puede evitar o mitigar posibles daños posteriores.

Por último, existen algunas excepciones, no será necesaria la notificación a la Autoridad de Control cuando el responsable pueda demostrar, que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas. Asimismo, no será necesaria la comunicación a los afectados conforme a lo dispuesto en el art. 34.3 RGPD:

  • No se notificará a la AEPD cuando:
    • El responsable demuestre que la brecha de seguridad no supone alto riesgo para los derechos y libertades de las personas físicas.
  • No se comunicará al interesado cuando:
    • El responsable ha adoptado medidas de protección técnicas y organizativas adecuadas. (cifrado de datos).
    • Se han aplicado medidas posteriores que garanticen que ya no existe probabilidad de alto riesgo.

Si el responsable no hubiera comunicado la brecha de seguridad al afectado y la autoridad de control lo estime pertinente deberá comunicárselo.

Si el responsable todavía no ha comunicado al afectado la brecha de la seguridad el art. 34.4 RGPD nos dice “Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.”