Notificación de brechas de seguridad de los datos en el RGPD

1426
robo informacion personal empresas

Una de las novedades incluídas en el Reglamento Europeo de Protección de Datos es la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados, que además de tener su propia regulación, aparece en otros apartados de esta norma, como es el caso de las funciones del Delegado de Protección de Datos (documentar, notificar y comunicar las violaciones de seguridad), o en lo relativo al principio de “accountability” (responsable y encargado deben articular los procedimientos de cómo actuar ante las fugas de seguridad).

Pero vamos a desarrollar un poco más esta nueva medida de seguridad incluida en el RGPD.

¿Qué es una brecha de seguridad?

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “brechas de seguridad”, de una forma muy amplia, que abarca todo percance que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Incidentes como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros son consideradas violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento indica.

Obligaciones del responsable de tratamiento

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de Protección de Datos competente, a menos que sea difícil que la violación produzca un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse cuanto antes y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Los responsables deben documentar todas las violaciones de seguridad.

En los casos en que sea probable que la violación de seguridad suponga un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de notificárselo a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD exige que se realice de manera inmediata. La finalidad es siempre que el afectado pueda reaccionar tan pronto como sea posible.

Contenido mínimo de la notificación

La notificación ha de incluir un contenido mínimo:

El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden adoptar los interesados para hacer frente a las consecuencias de la quiebra.

Procedimiento para realizar las notificaciones en caso de violaciones de seguridad

La valoración del riesgo de la quiebra es diferente del análisis de riesgos previo a todo tratamiento. Se pretende determinar hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede ocasionar a los afectados puede causar un daño en sus derechos o libertades.

Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por daños económicos o la exposición pública de datos confidenciales.

Se entiende que se tiene conocimiento de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.

La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.

Evidencia o incidente real

En supuestos de quiebras que por sus características pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos. Sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

También puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad en determinar completamente su alcance. En esos casos, es posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso.

La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

El criterio de alto riesgo debe entenderse en el sentido de que sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

Excepciones a la obligación de notificación

La notificación a los interesados no será necesaria cuando:

  • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.

La UE elaborará un formulario estandarizado a nivel europeo tanto para facilitar a los responsables la presentación de unas notificaciones completas según los criterios del RGPD como para que esas notificaciones se efectúen de forma coordinada a en toda la Unión Europea.

Ejemplo de brecha de seguridad a comunicar

Caso de robo de cuatro ordenadores de un Centro de Salud para niños.

El robo incumbe a datos de carácter personal, incluyendo datos de salud que son considerados como especialmente protegidos.

Al afectar a menores, la notificación debe realizarse a sus padres o representantes legales. En el ordenamiento jurídico español, el Reglamento de desarrollo de la LOPD, establece en su artículo 13 el consentimiento de los menores a partir de los 14 años, por lo que, al ser una cuestión vinculada a dicho consentimiento, como es que se haya producido una fuga que afecte a los datos que se están tratando en virtud del mencionado consentimiento, se debería notificar a los menores a partir de 14 años y no a sus padres.

Las consecuencias y perjuicios de este robo

– Respecto a la confidencialidad: vulneración del secreto; publicación de estos datos personales; utilización de los datos para realizar chantaje

–  Respecto a la disponibilidad: imposibilidad de seguir con el tratamiento de los pacientes; puede originar un retraso en la financiación sanitaria de esos pacientes;

–  Respecto a la integridad: si no existe una copia de seguridad, o la existente es muy antigua, se perderían todas las modificaciones y progresos de los historiales médicos almacenados en los cuatro ordenadores.

Medidas de seguridad que se podrían haber adoptado

Sobre la confidencialidad: realizar el cifrado los datos, sobre todo, los de salud.

Sobre la disponibilidad e integridad: efectuar una copia de seguridad, y tenerla actualizada.

Si se hubieran adoptado estas medidas, no sería necesario comunicar la brecha a los afectados. Además, valdría como prueba ante la Autoridad de Control para justificar la oportuna diligencia exigida.

Notificación de brechas de seguridad de los datos en el RGPD
4.6 (91.11%) 9 votos

Dejar respuesta