Notificación de brechas de seguridad en el Reglamento General de Protección de datos

brechas de seguridad

Por
6/08/2018

Desde la aplicación del RGPD la obligación de notificar las brechas de seguridad a la AEPD es aplicable a todas las entidades que lleven a cabo un tratamiento de datos personales en el ámbito de aplicación de la norma.

Cualquier organización que trate datos personales se encuentra expuesta a sufrir brechas de seguridad que pueden repercutir o no en la privacidad de los interesados. El proceso de gestión de brechas se suma a los procesos de negocio existentes en la organización, es una parte necesaria para mantener la actividad normal de cualquier organización, al mismo tiempo este proceso se constituye como una de las medidas más importantes a la hora de salvaguardar la seguridad de los tratamientos y en consecuencia los derechos y libertades fundamentales de los interesados.

El RGPD define las violaciones de seguridad como todas aquellas “que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptible en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales”. Se aplica en la medida en que afecte a datos de carácter personal y pueda comprometer al responsable del tratamiento.

Todas las brechas de seguridad de datos personales son incidentes de seguridad pero no todos los incidentes de seguridad son necesariamente brechas de seguridad  de datos personales.

La seguridad de los tratamientos implica la participación de los responsables de seguridad y de los delegados de protección de datos, pero no reside únicamente en estas dos figuras, es fundamental la labor de concienciación y formación de todo el personal con acceso a los datos personales, en particular para la gestión de brechas de seguridad. Una de las cuestiones más importantes para garantizar la seguridad de los datos personales a nivel organizativo es la implicación de todo el personal a través de medidas de formación.

El responsable del tratamiento de datos personales es el que decide a cerca del tratamiento y quien asume la responsabilidad de los tratamientos de datos personales que se lleven a cabo en su organización.  El delegado de protección de datos supervisa la licitud del tratamiento asesorando e informando al responsable.

La gestión de brechas de seguridad no se limita a la relación entre responsables y la AEPD, es obligación expresada en varios marcos normativos y sectoriales que pueden implicar distintas obligaciones de notificar, que hacen necesaria la existencia de un mecanismo de ventanilla única que permita una notificación inicial única. Se va a disponer de un mecanismo centralizado de notificaciones sin descartar la vía de la notificación directa a la AEPD para los responsables que así lo decidan.

Los procesos más importantes de gestión de brechas de seguridad son:

A) Detección e identificación de brechas de seguridad

Se incluyen los detalles sobre cómo una organización debe estar preparada mediante mecanismos apropiados para detectar las brechas de seguridad que puedan ocurrir, se deberán concretar las situaciones que se consideran incidentes de seguridad y las herramientas, mecanismos de detección o sistemas de alerta. Entre las detecciones que se produzcan es necesario poder distinguir entre las que son realmente incidentes de seguridad de las que no, es decir, identificar el incidente y realizar una clasificación preliminar del mismo. Es de gran ayuda contar con un servicio de notificaciones o avisos para identificar incidentes de seguridad, también sería interesante contar con la suscripción de servicios de avisos de los propios fabricantes  de los productos de los que se disponga. Por ejemplo, productos web, bases de datos, etc.

B) Plan de actuación

Se presentan los aspectos básicos sobre cómo proceder ante una brecha de seguridad. Se decidirán las medidas técnicas y organizativas para poder afrontar un incidente. Incluye una planificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto, en caso de que sean necesarias, y la definición de los “planes de respuesta a incidentes” o “plan de contingencia”.

Contiene detalles sobre la realización de un proceso de análisis que permita obtener información para determinar la clasificación del incidente con mayor precisión. Se trata del proceso de respuesta y la notificación de la brecha a la autoridad de control competente.

La notificación no implica la imposición de sanciones de forma directa por la AEPD, esta sería el resultado de falta de diligencia de responsables y encargados cuando suponga la falta de medidas de seguridad adecuadas a los tratamientos y se produzca un perjuicio para los derechos y libertades fundamentales de los interesados.

Proceso de notificación

El RGPD en su art. 33  establece que el responsable del tratamiento debe efectuar la correspondiente notificación a la autoridad de control competente tan pronto como tenga conocimiento de que se ha producido la brecha de seguridad de datos personales, sin dilación indebida y en un plazo, de ser posible, de 72 horas después de haber tenido constancia de ella. Se considera que se tiene constancia de una brecha de seguridad cuando haya una certeza de que se ha producido y se tiene conocimiento suficiente de su alcance y naturaleza.

Esta comunicación deberá contener la siguiente información:

Datos identificativos y de contacto de:

  • Entidad/responsable del tratamiento.
  • Persona de contacto o delegado de protección de datos, si está designado.
  • Identificación de si se trata de una notificación parcial o completa.

Información sobre la brecha de seguridad de datos personales:

  • Fecha y hora en la que se detecta.
  • Fecha y hora en la que se produce el incidente y su duración.
  • Circunstancias en las que se ha producido la brecha de seguridad. Por ejemplo, pérdida, robo, copia, etc.
  • Naturaleza y contenido de los datos personales.
  • Resumen del incidente que ha causado la brecha de seguridad de los datos.
  • Posibles efectos negativos y consecuencias en los afectados.
  • Medidas técnicas y organizativas que se hayan adoptado por parte del responsable del tratamiento.
  • Categoría de los datos y número de registros afectados.
  • Categoría y número de individuos afectados.
  • Posibles cuestiones de carácter transfronterizo, indicando la posible necesidad de notificar a otras autoridades de control.

Si en el momento de la notificación no fuese posible notificar toda la información podrá facilitarse posteriormente en distintas fases de forma gradual. Cuando el responsable realice la primera notificación deberá informar si proporcionará más información posteriormente.

Si no se realiza la notificación en las primeras 72 horas, la notificación igualmente se deberá realizar y en ella deberán constar y justificarse los motivos de la dilación.

Se estable una excepción a esta obligación; cuando el responsable pueda demostrar que la brecha de seguridad de los datos personales no entraña un riesgo para los derechos y libertades de las personas físicas, conforme al principio de responsabilidad proactiva.

Cuando las brechas de seguridad entrañen un alto riesgo para los derechos y libertades de los interesados, además de la comunicación a la autoridad de control, el responsable del tratamiento, adicionalmente, deberá comunicar a los afectados las brechas de seguridad con lenguaje claro y sencillo, de forma concisa y transparente y sin dilación indebida.

La notificación a la autoridad de control y la comunicación al afectado son obligaciones del responsable del tratamiento, pero éste puede delegar su ejecución en otras figuras.

En el caso de grandes empresas es conveniente formalizar un procedimiento de notificación, en el que se establezca el proceso para comunicar las brechas de seguridad de los datos personales a la autoridad de control y en su caso a los afectados.

El responsable del tratamiento debe registrar y justificar documentalmente cualquier brecha de seguridad de los datos personales, hechos relacionados, efectos y medidas correctivas adoptadas así como la propia notificación, de modo que permita a la autoridad de control verificar el cumplimiento de la obligación de notificación en todo su contenido.

La notificación se realizará a través de un formulario publicado en la sede electrónica de la AEPD destinado a tal efecto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS