guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Notificación de violaciones de seguri...

Notificación de violaciones de seguridad (Protección de Datos)

Los responsables y encargados del tratamiento tienen la obligación de notificar las violaciones de seguridad de los datos personales. Esta obligación se divide en dos comunicaciones diferentes, por un lado, a las autoridades de control y por otro a los afectados. Los encargados del tratamiento también están obligados a notificar a los responsables del tratamiento.

Protección de Datos Personales
Protección de datos

¿En qué consiste la obligación de notificar las violaciones de seguridad?

El artículo 4.12 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) define la violación de seguridad como toda brecha de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos. Por tanto, acontecimientos como los accesos no autorizados a repositorios de datos sensibles también son violaciones de seguridad.

Notificación a la autoridad de control

El responsable del tratamiento que sufra una brecha de seguridad que constituya un riesgo para los derechos y las libertades de las personas físicas tiene la obligación de comunicarla sin dilación indebida, y de ser posible, en no más de 72 horas desde que tenga constancia de la misma. Se deberá comunicar a la autoridad de control competente (art. 55 del RGPD), que en el caso español es la Agencia Española de Protección de Datos (AEPD) o la autoridad autonómica en el caso de entidades que estén bajo su ámbito competencia.

Esta comunicación únicamente será necesaria cuando suponga un riesgo para los derechos y libertades de las personas, en la medida que puedan ser fuente de discriminaciones, pérdida de confidencialidad o cualquier otro daño económico o social.

Por el contrario, no será necesario comunicar la brecha de seguridad cuando exista una baja probabilidad de que el riesgo se materialice y que tenga un impacto para el interesado (art. 33.1 del RGPD). Las brechas de seguridad deberán ser estudiadas caso por caso, y deberá existir un procedimiento muy claro dentro de la organización y con las responsabilidades muy definidas para poder dar una respuesta eficaz a la violación y a la comunicación.

En los últimos años hemos sido testigos de este tipo de comunicaciones por parte de grandes organizaciones que vieron comprometidos datos bancarios de miles de sus usuarios. Una comunicación a tiempo puede al menos ayudar a mitigar los daños reputacionales, la transparencia es un valor.

Comunicación a los interesados

La violación de datos personales deberá ser comunicada a los interesados de un modo claro y sencillo (art. 34.2 RGPD), sin dilación indebida cuando pueda entrañar un alto riesgo para sus derechos y libertades (art. 34.1 RGPD). La finalidad de esta comunicación es facilitar al interesado la posibilidad de tomar las precauciones necesarias para evitar consecuencias mayores debido a la violación de los datos personales.

Notificación al responsable del tratamiento

El encargado del tratamiento está obligado a notificar al responsable del tratamiento las violaciones de seguridad de las que tenga conocimiento.

¿Hay excepciones a la obligación de notificar la violación de seguridad?

Existen una serie de excepciones en virtud de las que no es necesario comunicar una violación de la seguridad de los datos a los interesados:

  • Si se han adoptado medidas técnicas y organizativas apropiadas que, aplicadas a los datos comprometidos hiciera a estos ininteligibles y no permitiera su acceso por parte de terceros, por ejemplo, el cifrado.
  • Cuando se reaccione de manera eficaz, adoptando medidas ulteriores que puedan asegurar que no se vaya a producir ningún riesgo para los derechos y libertades de los interesados.
  • Si la comunicación supone un esfuerzo desproporcionado. En este caso se debería llevar a cabo una comunicación pública o semejante que hiciera igualmente efectiva la notificación.

No obstante, el responsable del tratamiento tendrá siempre la obligación de documentar las violaciones de la seguridad de los datos, incluyendo también los hechos relacionados con estas, sus efectos, así como las medidas correctivas que haya adoptado. Esta documentación estará a disposición de la autoridad de control que, si lo considera oportuno en atención a la probabilidad de que la violación implique un alto riesgo para los interesados, podrá ordenar al responsable que lo comunique a los interesados.

Tampoco será necesario notificar una violación de la seguridad de los datos personales a la autoridad de protección de datos cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas.

¿Cuál es el contenido de la notificación a la autoridad de control y la comunicación a los interesados?

La notificación a la Autoridad de Control contendrá como mínimo (art. 33.3 RGPD):

  • Una descripción de la naturaleza de la violación, y cuando sea posible, las categorías y número aproximado de interesados, categorías y número de registros afectados;
  • los datos de contacto del Delegado de Protección de Datos u otro punto de contacto;
  • Una descripción de las posibles consecuencias;
  • Una descripción de las medidas adoptadas o propuestas como remedio a la violación.

Además, el responsable del tratamiento debe documentar cualquier violación de seguridad (art. 33.5 RGPD), por lo que será necesario que los responsables del tratamiento mantengan un registro interno, que con la normativa previa era el conocido como registro de incidencias.

La comunicación a los interesados de una violación de la seguridad de los datos deberá describir, con un lenguaje claro y sencillo, la naturaleza de la violación y contendrá, como mínimo, la siguiente información:

  • los datos de contacto del Delegado de Protección de Datos u otro punto de contacto;
  • Una descripción de las posibles consecuencias;
  • Una descripción de las medidas adoptadas o propuestas como remedio a la violación.

Directrices del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos (CEPD) publicó sus directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679, WP 250 rev.01, adoptadas el 3 de octubre de 2017, y que posteriormente fueron revisadas y adoptadas el 6 de febrero de 2018.

En estas directrices el CEPD, siguiendo un documento previo del Grupo de Trabajo del artículo 29, clasifica las violaciones, atendiendo a los principios de seguridad de la información, de la siguiente manera:

  • «Violación de la confidencialidad»: cuando se produce una revelación no autorizada o accidental de los datos personales, o el acceso a los mismos.
  • «Violación de la integridad»: cuando se produce una alteración no autorizada o accidental de los datos personales.
  • «Violación de la disponibilidad»: cuando se produce una pérdida de acceso accidental o no autorizada a los datos personales, o la destrucción de los mismos.

Además de analizar las previsiones del RGPD, respectivamente, en relación con la notificación de la violación de la seguridad de los datos a la autoridad de control y la comunicación al afectado, el CEPD se refiere expresamente a que llevar un registro de las violaciones de la seguridad, con independencia de que tengan que notificarse y/o comunicarse, tienen que ser registradas por el responsable, lo que está vinculado al principio de responsabilidad proactiva ("accountability"). Y se refiere también a la obligación de notificación en virtud de otras normas del Derecho de la Unión Europea, tales como el Reglamento (UE) n.o 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS) o la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva RSI).

Por último, en su anexo incluye tanto un diagrama de flujo con los requisitos aplicables a la notificación de una violación de la seguridad de los datos personales, como una lista ejemplificativa de violaciones, así como a quién habría que notificarlas, ya sea tanto la autoridad de control y, en su caso, al afectado.

¿Cuáles son las consecuencias de la falta de notificación para el responsable del tratamiento?

El incumplimiento del deber de notificar estas violaciones de seguridad constituye una infracción grave, de acuerdo con los apartados q), r) y s) del artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y podrá suponer, en el caso de las empresas u otras organizaciones del sector privado, la imposición de una multa de hasta 10 millones de euros o el 2% de los ingresos totales anuales de la entidad. Es por ello muy importante que todo el personal sea consciente de qué es una incidencia relacionada con protección de datos, en caso de que dé lugar a una violación, y qué debe hacer si la detecta. En España, la AEPD ha adoptado el canal de comunicación de brechas de seguridad existente en el ámbito de las comunicaciones electrónicas para las violaciones en materia de protección de datos.

Recuerde que...

  • Las brechas de seguridad deben ser comunicadas a los interesados sin dilación indebida y, de ser posible, en no más de 72 horas desde que tenga constancia de la misma, cuando suponga un alto riesgo para los derechos y libertades de las personas.
  • La violación de datos personales debe ser comunicada a los interesados de un modo claro y sencillo, sin dilación indebida cuando pueda entrañar un alto riesgo para sus derechos y libertades.
  • El responsable del tratamiento debe documentar cualquier violación de seguridad.
  • El incumplimiento del deber de notificar estas violaciones de seguridad podrá suponer la imposición de una multa de hasta 10 millones de euros o el 2% de los ingresos totales anuales de la entidad.
Subir