¿CUÁNDO HAY QUE NOTIFICAR LAS VIOLACIONES DE SEGURIDAD?

 

Desde nuestra asesoría jurídica de protección de datos, hoy compartimos un artículo sobre las violaciones de seguridad en la protección de datos personales. Hacemos especial mención a los casos en los que es o no necesaria su comunicación y los riesgos asociados.

 

Como ya comentamos en el artículo “Protección de Datos personales y brechas de seguridad”, una violación de seguridad es un suceso inesperado y no deseado que produce efectos adversos en la seguridad de nuestros sistemas de información.  (Más información disponible en nuestra página de Consultoría Protección de Datos.)

No obstante, cuando pensamos en violaciones de seguridad, es frecuente caer en el error de asociarlas a grandes ataques informáticos de ramsonware (virus maliciosos que cifran los archivos de una empresa y que solicitan un rescate para volver a hacerlos legibles). Pero lo cierto es que, la gran mayoría de violaciones de seguridad se dan simplemente cuando un empleado pierde un portátil que contiene datos de carácter personal, o cuando se envía un correo masivo con copia abierta, de manera que permita identificar al resto de usuarios a los que también se remite dicho correo.

 

 

1.     ¿Se deben notificar todas las violaciones de seguridad?

 

 

Únicamente existe la obligación de notificar violaciones de seguridad, cuando ese suceso  suponga un alto riesgo para los derechos y libertades de las personas físicas.

 

De manera que, el Responsable, en virtud del principio de Responsabilidad proactiva, quedará eximido de la comunicación siempre y cuando pueda demostrar que las violaciones de seguridad no implican un riesgo para los interesados.

 

Violaciones de seguridad en la protección de datos personales

Si los datos están encriptados, posiblemente no será necesaria la comunicación de violaciones de seguridad.

 

 

2.     ¿Cómo puedo saber si las violaciones de seguridad implican un alto riesgo?

 

 

A fin de gestionar las violaciones de seguridad, debemos determinar potencialmente la peligrosidad de la violación. Para determinar si una violación de seguridad puede llegar a suponer un alto riesgo para los interesados, debemos recurrir a la evaluación de impacto o al análisis de riesgos que se realizó antes de la puesta en marcha del tratamiento.

 

En los casos de duda, o en casos de no haber realizado previamente ninguno de los análisis anteriormente descritos, se deberá realizar una ponderación de diversos factores:

 

  • Naturaleza y categoría de datos tratados (datos sensibles, datos identificativos, datos financieros, etc.)

 

  • Volumen de datos personales afectados: la AEPD recomienda que el volumen se exprese en periodos de tiempo (meses, semanas, días) o en cantidad (registros, documentos, ficheros).

 

  • Encriptación / no encriptación: si los datos están protegidos con sistemas de pseudoanonimización, posiblemente no será  necesario comunicar la violación de seguridad.

 

  • Consecuencias para los individuos: se deberá determinar si las personas no se verán afectadas, si pueden encontrar inconvenientes importantes, o si se pueden enfrentar a consecuencias dramáticas como consecuencia de la violación de seguridad.

 

  • Número de afectados: Se deberá determinar una escala numérica que cuantifique el número de individuos afectados.

 

 

 

3.     ¿Y si a pesar de haber tenido una violación de seguridad, decido no comunicarlo?

 

A fin de cumplir con el principio de Responsabilidad Proactiva,  si el Responsable decide no comunicar las violaciones de seguridad, deberá ser capaz de demostrar que éstas no suponen un riesgo para los derechos y libertades de los individuos afectados.

 

La manera de demostrar fehacientemente  que no hay un riesgo alto, podría ser:

 

  • Que con anterioridad a la violación de seguridad se hayan tomado medidas técnicas y organizativas adecuadas. Por ejemplo, si personal no autorizado intenta acceder ilegítimamente al sistema de red, pero dichos ordenadores contienen sistemas de identificación y autentificación personales, de manera que únicamente la persona autorizada pueda acceder a la información, incorporando un pin o contraseña.

 

  • Que con posterioridad a la violación de seguridad, el responsable haya tomado medidas de seguridad que mitiguen total o parcialmente el posible impacto para los individuos, de manera que se imposibilite realmente que dicho riesgo pueda materializarse. Por ejemplo, si un usuario no autorizado ha accedido a datos de carácter personal, tomando medidas contra ese usuario, y bloqueando dicho acceso.

 

  • Si por ejemplo, un usuario pierde un ordenador portátil que contiene datos personales, pero dichos datos se encuentran protegidos mediante un sistema de cifrado, no será necesaria la comunicación.

 

  • Finalmente, el RGPD prevé que cuando la notificación suponga un esfuerzo desproporcionado, no será necesario notificarlo  ni a la Autoridad de Control, ni a los individuos afectados. De manera que, por ejemplo, si una de las consecuencias de las violaciones de seguridad es que se hayan perdido los datos de carácter personal de los individuos afectados (incluidos datos de contacto) el responsable no estará obligado a notificarlo ante la AEPD.

 

Como siempre, en Grupo Adaptalia estamos a su disposición para asesorarle como expertos en protección de datos. Empresas, autónomos y PYMES confían en nosotros para su tranquilidad en el cumplimiento normativo, legal y tecnológico. ¡Contactate!