RGPD Q&A: Violaciones de Seguridad de los Datos Personales

A lo largo del año pasado, nos dedicamos a llevar a cabo una serie de seminarios web sobre el Reglamento General de Protección de Datos Europeo (RGPD) como guía a la hora de prepararse para el cumplimiento de dicho reglamento. Cada seminario trata sobre un tema específico sobre el RGPD y finaliza con nuestro ponente respondiendo a tus preguntas.

En este blog trataremos de clarificar algunos asuntos relacionados con las violaciones de seguridad de los datos personales en el marco RGPD.

P: ¿A quién debo notificar una violación de seguridad?

R: Una violación de seguridad de los datos personales deberá ser notificada a la autoridad de control correspondiente (Agencia Española de Protección de Datos, o AEPD, en el caso de España) cuando constituya un riesgo para los derechos y las libertades de las personas físicas (los interesados). Ahora bien, si dicha violación de seguridad entraña un ‘alto riesgo’ para los derechos y las libertades del interesado, el responsable del tratamiento deberá además comunicarla al interesado.

Los encargados del tratamiento que sufran una violación de seguridad deberán notificarla al responsable del tratamiento sin dilación indebida. Dicho responsable es quien tendrá la obligación de comunicarla a la autoridad de control, y a los interesados si fuera necesario.

P: ¿Se considera también una violación de seguridad incluso cuando ningún dato ha sido robado (como en el caso de ransomware)?

R: Sí. Una violación de seguridad de los datos personales incluye cualquier tipo de violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

P: ¿Necesita ser notificada una violación de seguridad que afecte a datos de prueba (datos aleatorizados)?

R: Si los datos de prueba incluyen información que permita la identificación (directa o indirectamente) de las personas físicas, esa actividad de tratamiento estará sujeta al RGPD, y por lo tanto una supuesta violación de seguridad que afecte a esos datos deberá ser notificada a la autoridad de control, y en su caso a los interesados, siempre y cuando se den las condiciones mencionadas anteriormente. Esto también afectaría a violaciones de seguridad que afecten indirectamente a dichos datos de prueba.

P: ¿Hay alguna guía que haga referencia al cómo, o a través de qué medio, se debería notificar a los interesados una violación de seguridad?

R: El RGPD no prescribe la forma en la que deben producirse las notificaciones sobre violaciones de seguridad. Forma parte de la responsabilidad de cada organización el desarrollar sus propias políticas internas con el fin de gobernar cómo debería de ser dicho proceso de comunicación a los interesados en caso de violaciones de seguridad que necesiten ser notificadas.

Sin embargo, a la hora de notificar a los interesados una violación de seguridad, es imperativo incluir la siguiente información de manera clara y sencilla:

  • la naturaleza de la violación de seguridad de los datos personales;
  • el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  • las posibles consecuencias de la violación de la seguridad;
  • las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

En situaciones en las que más de un interesado se ha visto afectado por una violación de seguridad, una comunicación de índole pública podría considerarse como un medio apropiado para dicha notificación.

En lo referente a notificaciones a la autoridad de control, la AEPD estableció un canal para la notificación de quiebras de seguridad en el ámbito de las comunicaciones electrónicas. Dicho canal será adaptado para la notificación de violaciones de seguridad en el marco del RGPD.

P: ¿Se espera que las organizaciones notifiquen todas y cada una de las violaciones de seguridad, incluso si la gravedad es de alcance menor?

R: No. Las violaciones de seguridad solo necesitan ser reportadas a la autoridad de control cuando es probable que exista un riesgo para los derechos y las libertades de las personas físicas. Por lo tanto, no todas las violaciones de seguridad deberán ser reportadas.

P: ¿Cómo se va a hacer cumplir la obligación de notificar una violación de seguridad dentro del límite de 72 horas?

R: El fallo a la hora de notificar una violación de seguridad de datos personales cuando es probable que entrañe un riesgo para los derechos y las libertades de los interesados será susceptible de multas administrativas de hasta 10 000 000 EUR o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

El artículo 83 del Reglamento establece que la forma en la que la autoridad de control se haga eco de dicha violación de seguridad será un factor determinante a la hora de imponer la sanción administrativa. En otras palabras, toda organización que no notifique a su autoridad de control una violación de seguridad, cuando reúna las condiciones que hacen dicha notificación obligatoria, estará expuesta a multas de mayor cuantía.

Merece la pena mencionar que en casos en los que no pueda notificarse una violación de seguridad dentro de esas 72 horas debido a la complejidad a la hora de determinar, por ejemplo, el alcance de la misma, se podrá notificar posteriormente acompañando dicha notificación de una explicación respecto al retraso de la misma. También podrá notificarse la violación de seguridad de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

Lo anterior no da respuesta a cómo las autoridades de control se asegurarán de que las violaciones de seguridad sean reportadas dentro de las 72 horas desde que dicha violación de seguridad es conocida por el responsable. No obstante, es razonable asumir que las altas cuantías que pueden imponerse como multas administrativas impulsará a las organizaciones a cumplir con este requisito.

P: En lo referente a la notificación de violaciones de seguridad a la luz del RGPD, ¿sabe usted si habrá un conjunto de criterios de puntuación de incidentes que ayude a decidir qué se debe informar y qué se puede tratar a nivel interno?

R: Cualquier tipo de violación de seguridad de datos personales que entrañe un riesgo para los derechos y las libertades de las personas físicas tendrá que ser notificada a la autoridad de control para su posterior análisis caso por caso.

A la hora de decidir si se debe de notificar a la autoridad de control y a los interesados si procede, la Agencia Española de Protección de Datos incluye en su Guía del Reglamento General de Protección de datos para Responsables del Tratamiento lo siguiente:

  • Se tiene constancia de una violación de seguridad cuando hay certeza de que ha ocurrido y existe conocimiento sobre la naturaleza y el alcance de dicha violación de seguridad.
  • La sospecha de que se ha producido una violación de seguridad, o certeza de que ha existido un incidente sin tener un mínimo de conocimiento sobre las circunstancias no daría lugar a la obligación de notificación del incidente ya que precisamente el desconocimiento de las circunstancias en las que se ha dado la susodicha violación de seguridad hace imposible la determinación del riesgo para los derechos y las libertades del interesado, condición indispensable para determinar la necesidad de notificación.
  • El criterio de ‘alto riesgo’ ha de interpretarse como la posibilidad de que la violación de seguridad ocasione daños de entidad a los interesados. La AEPD pone varios ejemplos: aquellos en los que se desvele información confidencial como contraseñas o participación en determinadas actividades, en los que se difundan datos sensibles de forma masiva o en los que se puedan producir perjuicios económicos para los afectados.
  • La comunicación a los interesados no sería necesario cuando medidas técnicas y organizativas hayan sido tomadas con anterioridad a la violación de seguridad, y que resulten en inteligibilidad de los datos personales para terceros (cifrado). Tampoco será necesaria la comunicación a los interesados cuando se hayan tomado medidas con posterioridad que imposibiliten la existencia de la materialización un alto riesgo. Por último, no hará falta notificar la violación de seguridad a los interesados cuando requiera un esfuerzo desproporcionado, en cuyo caso la alternativa vista con buenos ojos es una comunicación pública.

Visita nuestros seminarios web sobre el RGPD

Para más información acerca de las violaciones de seguridad de los datos personales a la luz del reglamento, te recomendamos asistir a uno de nuestros cursos sobre el RGPD y seguir el resto de nuestros webinars.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.