✔ Con la entrada en vigor del RGPD aparece la obligación de notificar las violaciones o brechas de seguridad.

Este deber de notificar las brechas de seguridad en el RGPD tiene cardinal importancia ya que tiene como finalidad que, ante un incidente que afecte la confidencialidad, seguridad e integridad de los datos, se tomen a tiempo medidas adecuadas para mitigar o reducir en la mayor proporción posible los daños físicos, materiales o inmateriales para los interesados, como ser la pérdida de control sobre sus datos personales, la restricción en el ejercicio de sus derechos, la usurpación de identidad, la afectación patrimonial, el daño en la reputación, la pérdida de confidencialidad, o cualquier otro perjuicio económico o social relevante.

El RGPD define a la violación de seguridad de los datos personales como:

«Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Es decir que la brecha de seguridad en el RGPD se entiende como un incidente de seguridad que afecta a datos personales, que puede tener su origen en un accidente o una acción intencionada y que puede involucrar datos tratados por medios digitales o en formato papel.

En general estos incidentes en ocasiones es debido a la destrucción, alteración, perdida, comunicación o acceso no autorizado.

¿Quién y a quienes está obligado a notificar la violación de seguridad?

En un todo de acuerdo con lo establecido en los Arts. 33 y 34 y los respectivos considerandos del RGPD el responsable del tratamiento al sufrir una brecha de seguridad que entrañe un riesgo para los derechos y las libertades de las personas físicas tiene la obligación de comunicarla sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de aquella.

  • Notificación a la autoridad de control.

De acuerdo con lo establecido para la brecha de seguridad en el RGPD esta debe ser comunicado por el responsable a la autoridad de control competente, es decir, en el caso de español a la Agencia Española de Proteccion de Datos (AEPD), de acuerdo con lo dispuesto en el Art. 55 RGPD o a las autoridades de control autonómicas.

Ahora bien, dicha notificación será necesaria únicamente en el caso que la violación de seguridad constituya un riesgo para las libertades y derechos de las personas físicas afectadas.

Pues bien, en caso de que sea improbable que se materialice el riesgo y que tenga un impacto sobre el interesado afectado, no será necesario que el responsable notifique la brecha de seguridad a la autoridad de control (Art. 33.1 RGPF). No obstante, y por aplicación del principio de responsabilidad proactiva, el responsable deberá poder demostrar la improbabilidad de que se materialice el riesgo.

Si no es posible realizar la notificación en el plazo máximo de 72 hs, se deberá indicar en el documento mediante el cual se realice la notificación los motivos que justifiquen la comunicación extemporánea.

  • Comunicación al Interesado.

Del mismo modo, el responsable deberá comunicar, en términos claros y sencillo, al interesado (titular de los datos personales afectados), sin dilación indebida, la violación de seguridad respecto a sus datos personales, siempre y cuando la misma entrañará un riesgo para sus derechos y libertades.

La comunicación deberá realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control y siguiendo su orientación y la de cualquier otra autoridad competente que pueda interceder (como la policial).

  • Comunicación al Responsable del Tratamiento.

Por su parte, en un todo de acuerdo con lo establecido por el Art. 28 RGPD, el encargado del tratamiento tiene la obligación de notificar al responsable del tratamiento cualquier brecha de seguridad de la que tenga conocimiento en el marco de su encargo.

¿Todavía NO sabes como afecta el «cumplimiento normativo legal» a tu empresa?

✓ Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía. Somos especialistas en PROTECCIÓN DE DATOS | LSSI | COMPLIANCE PENAL | LPBC-FT.
📌 Nuestra «Consultoría en Protección de Datos» es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

¿Existen excepciones al deber de notificar la violación de seguridad?

Si bien la regla es que ante una brecha de seguridad existe el deber de notificar la misma a la autoridad de control, el interesado y, cuando corresponda, al responsable del tratamiento, hay ciertas excepciones a dicho deber.

En tal sentido la brecha de seguridad en el RGPD encuentra las siguientes excepciones:

Improbabilidad de que la violación de seguridad constituya un riesgo para los derechos y libertades de las personas físicas: esta excepción genérica se establece en los Arts. 33 y 34 RGPD. El responsable del tratamiento deberá poder probar la baja probabilidad de que la brecha de seguridad ponga en riesgo los derechos y libertades de los interesados afectados. Para ello la AEPD en su Guía para la gestión y notificación de brechas de seguridad establece en su Anexo III una serie de criterios y valores que sirven, en base a los parámetros de: volumen, tipología e impacto, para determinar la necesidad de notificar la brecha de seguridad. En todo caso el responsable del tratamiento, aplicando el principio de responsabilidad proactiva, deberá determinar si se encuentra o no exceptuado y en todo caso deberá poder probarlo fehacientemente.

Condiciones del Art. 34.3: si se cumple alguna de las siguientes condiciones no será necesario la comunicación al interesado:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Interés legítimo de las autoridades policiales: Si bien no se trataría en si de una excepción como las mencionadas con anterioridad, podría suceder que para evitar obstaculizar de forma innecesaria una investigación policial se deba dilatar el plazo de comunicación de la brecha de seguridad al interesado. No obstante, en el momento que la comunicación no genere obstáculo innecesario para la investigación se deberá realizar la comunicación inmediatamente.

¿Cuál es el contenido mínimo de la notificación de la violación de seguridad?

La notificación a la autoridad de control pertinente deberá contar con la menos la siguiente información (Art. 33.3):

  1. a) una descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. c) una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. d) una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Por su parte la comunicación a los interesados deberá contar como mínimo con la información indicada en los puntos b), c) y d) mencionados arriba.

Obligación del Registro de Incidencias

La brecha de seguridad en el RGPD deberá estar documentada, en lo que se conoce como el registro de incidencias. Se deberá incluir la violación de seguridad en sí, como también los hechos relacionadas con ella, sus efectos y las medidas correctivas dispuestas. En el registro deberán constar todas las brechas de seguridad, se hayan notificado o no a la autoridad de control. La documentación deberá permitir a la autoridad de control verificar el cumplimiento de las obligaciones del responsable del tratamiento en materia de violaciones de seguridad.

¿Cuáles son las consecuencias del incumplimiento de la obligación de la violación de seguridad?

El incumplimiento de notificar y comunicar la brecha de seguridad en el RGPD trae aparejado serias consecuencias para el infractor.

De acuerdo con lo dispuesto por el Art. 83.4.a) el incumplimiento del deber de notificar y comunicar la violación de seguridad será sancionada con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía.

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

El INE realiza un estudio sobre movilidad de la ciudadanía
Las Criptomonedas y el Blanqueo de Capitales
Como defender a mi empresa de la repercusión social a través del Compliance