¿Has sufrido un ataque informático en tu empresa? ¿perdido información de los clientes?

Una de las novedades incluídas en el Reglamento Europeo de Protección de Datos es la obligatoriedad de notificar las brechas de seguridad.

Voy a desarrollar un poco más esta nueva medida de seguridad detallando los pasos a seguir para notificar a la AEPD y a los afectados una brecha de seguridad.

¿Qué es una brecha de seguridad?

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “brechas de seguridad”, de una forma muy amplia, que abarca todo percance que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Incidentes como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros son consideradas violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento indica.

Regulación

regulacion-lopd

La notificación de brechas de seguridad de los datos personales además de tener su propia regulación, aparece en otros apartados de esta norma, como es el caso de las funciones del Delegado de Protección de Datos (documentar, notificar y comunicar las violaciones de seguridad), o en lo relativo al principio de “accountability” (responsable y encargado deben articular los procedimientos de cómo actuar ante las fugas de seguridad).

RGPD

El Reglamento europeo de Protección de Datos regula esta notificación de brechas de seguridad en los artículos 33 y 34, diferenciando entre la notificación realizada a las Autoridades de control y la realizada a los interesados.

Nueva LOPD

Antes de la entrada en vigor del RGPD solo se contemplaba la obligación de notificar las violaciones o brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público. Esto se encuentra regulado en la Ley 9/2014 General de Telecomunicaciones y en el  Reglamento (UE) nº 611/2013 de la Comisión.

El Anteproyecto de nueva LOPD no regula específicamente las notificaciones de brechas de seguridad por lo que será de aplicación lo establecido en el RGPD.

Notificaciones de brechas de seguridad

notificacion-lopd

Una de las principales obligaciones que el RGPD exige a los responsables de tratamiento de datos personales es notificar cualquier violación de seguridad que afecte a esos datos que manejan. 

¿Quién debe notificarlas?

Antes, con la LOPD, la obligación solo afectaba a las empresas de telecomunicaciones y a los proveedores de acceso a Internet o ISP.

Ahora, con el Reglamento general europeo de protección de datos se amplia a cualquier responsable del tratamiento, no ya solo las empresas del sector de las comunicaciones electrónicas.

Obligaciones del responsable de tratamiento

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de Protección de Datos competente, a menos que sea difícil que la violación produzca un riesgo para los derechos y libertades de los afectados.

Los responsables deben documentar todas las violaciones de seguridad.

En los casos en que sea probable que la violación de seguridad suponga un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de notificárselo a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD exige que se realice de manera inmediata.

La finalidad es siempre que el afectado pueda reaccionar tan pronto como sea posible.

¿A quién debe notificarse?

Por tanto, la notificación debe realizarse a:

  • La Autoridad de control, en nuestro caso, la AEPD.
  • Los propios afectados.

¿Cuándo?

La notificación de la quiebra a la AEPD debe producirse cuanto antes y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Criterios para valorar si un incidente de seguridad debe notificarse

A la hora de decidir si debemos notificar un determinado incidente de seguridad, debemos tener en cuenta:

  • El potencial daño para los datos de los interesados (agravios en los datos personales): este habrá de incluir el agravio emocional, así como físico y financiero. Algunas de las formas en las que este agravio puede manifestarse son: exposición al robo de identidad a través del lanzamiento de datos identificativos que no sean públicos, tales como números de pasaporte; o información sobre los aspectos privados de la vida de la persona como por ejemplo sus circunstancias financieras.
  • El volumen de datos personales afectados: habrá que evaluarlo en relación con el tipo de datos objeto de la brecha de seguridad.
  • El nivel de los datos personales, ¿son sensibles?: existen más probabilidades de que los derechos y libertades de la persona sean dañados cuando los datos envueltos en la brecha de seguridad son sensibles. Por tanto, incluso un solo registro podría ser el desencadenante de la brecha de seguridad si la información es particularmente sensible.

Procedimiento

La obligación de notificar las brechas de seguridad exige a las empresas la incorporación de procedimientos en los que se sigan unos pasos.

procedimiento-brecha-seguridad

Valoración del riesgo

La valoración del riesgo de la quiebra es diferente del análisis de riesgos previo a todo tratamiento. Se pretende determinar hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede ocasionar a los afectados puede causar un daño en sus derechos o libertades.

Daños materiales o inmateriales

Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por daños económicos o la exposición pública de datos confidenciales.

Alcance

Se entiende que se tiene conocimiento de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.

La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.

Evidencia o incidente real

En supuestos de quiebras que por sus características pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos. Sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

También puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad en determinar completamente su alcance. En esos casos, es posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso.

Para completar un registro de una incidencia, el Reglamento 611/2013 recoge un Anexo que puede servirnos como ejemplo del modelo que elaborará la AGPD.

La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

El criterio de alto riesgo debe entenderse en el sentido de que sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

Formulario

El Reglamento 611/2013 relativo a las medidas aplicables a la notificación de casos de violación de datos (ámbito proveedores servicios comunicaciones electrónicas), recoge un Anexo en el que se detallan varios extremos a tener en cuenta a la hora de realizar una notificación, que puede servirnos como modelo o anticipo de lo que deberá poner a disposición de las entidades nuestra AGPD.

En ese Anexo se recoge lo contemplado en el RGPD y se amplía con algunos campos que pueden ser útiles para llevar un registro completo de la incidencia.

Contenido mínimo

La notificación ha de incluir un contenido mínimo:

  • La naturaleza de la violación, categorías de datos y de interesados afectados,
  • medidas impuestas por el responsable para resolver esa quiebra y,
  • si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.

El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden adoptar los interesados para hacer frente a las consecuencias de la quiebra.

Excepciones a la obligación de notificación

La notificación a los interesados no será necesaria cuando:

  • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.

La UE elaborará un formulario estandarizado a nivel europeo tanto para facilitar a los responsables la presentación de unas notificaciones completas según los criterios del RGPD como para que esas notificaciones se efectúen de forma coordinada a en toda la Unión Europea.

Sanciones

sancion-lopd

El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera como infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Teniendo en cuenta que las multas administrativas se impondrán en función de las circunstancias de cada caso individual y se graduarán en función de una serie de criterios recogidos en el RGPD, entre ellos el tipo de los datos afectados, se puede concluir que las organizaciones deben contar con planes de contingencia para este tipo de sucesos y protocolos que aborden la gestión, notificación y solución de incidencias de este calibre.

ejemplos proteccion de datos

Una brecha de seguridad es por ejemplo cuando roban ordenadores de un Centro de Salud.

El robo incumbe a datos de carácter personal, incluyendo datos de salud que son considerados como especialmente protegidos.

Al afectar a menores, la notificación debe realizarse a sus padres o representantes legales. En el ordenamiento jurídico español, el Reglamento de desarrollo de la LOPD, establece en su artículo 13 el consentimiento de los menores a partir de los 14 años, por lo que, al ser una cuestión vinculada a dicho consentimiento, como es que se haya producido una fuga que afecte a los datos que se están tratando en virtud del mencionado consentimiento, se debería notificar a los menores a partir de 14 años y no a sus padres.

Las consecuencias y perjuicios de este robo

  • Respecto a la confidencialidad: vulneración del secreto; publicación de estos datos personales; utilización de los datos para realizar chantaje
  • Respecto a la disponibilidad: imposibilidad de seguir con el tratamiento de los pacientes; puede originar un retraso en la financiación sanitaria de esos pacientes;
  • Respecto a la integridad: si no existe una copia de seguridad, o la existente es muy antigua, se perderían todas las modificaciones y progresos de los historiales médicos almacenados en los cuatro ordenadores.

Medidas de seguridad que se podrían haber adoptado

  • Sobre la confidencialidad: realizar el cifrado los datos, sobre todo, los de salud.
  • Sobre la disponibilidad e integridad: efectuar una copia de seguridad, y tenerla actualizada.

Si se hubieran adoptado estas medidas, no sería necesario comunicar la brecha a los afectados. Además, valdría como prueba ante la Autoridad de Control para justificar la oportuna diligencia exigida.

Preguntas frecuentes

¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?

Si la brecha se produce por parte del encargado del tratamiento, este deberá alertar e informar al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.

¿Qué consecuencias tiene la notificación de la brecha de seguridad a la AEPD?

Puede ocurrir que si se ha publicitado la brecha (por ejemplo, en las redes sociales o medios de comunicación social), el daño al prestigio de la empresa puede ser mayor que cualquier sanción económica que se le pueda imponer.

Al realizar la “auto-denuncia” junto con la adopción de las medidas posteriores pertinentes para evitar daños mayores, la sanción económica será menor, además de hacerse un “lavado de imagen” de cara a la opinión pública.

¿Cuándo debe considerarse que supone un riesgo para los derechos de los interesados?

El RGPD proporciona una serie de criterios y ejemplos, sobre cuándo se considerarán vulnerados esos derechos y libertades. Entre ellos, cabe destacar:

  • usurpación de identidad o fraude
  • pérdidas financieras
  • daño para la reputación
  • pérdida de confidencialidad de datos sujetos al secreto profesional
  • reversión no autorizada de la seudonimización
  • casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
  • casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados

Modelos

Aquí tienes los modelos para notificar una brecha de seguridad tanto a la AEPD como al afectado:

¿Ya conoces qué pasos tienes que seguir en caso de sufrir una brecha de seguridad? Si te ha quedado alguna duda… ¡coméntame!

Notificación de brechas de seguridad de los datos en el RGPD
4.6 (92.73%) 11 votos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *