¿Qué hacer ante una brecha de seguridad en el tratamiento de datos personales?

No es tan infrecuente que ocurran sucesos por los que se ocasione de forma accidental la destrucción, pérdida o incluso la comunicación no consentida a terceros de datos personales.

Nos encontramos ante las denominadas brechas de seguridad, que no son sino incidentes en el tratamiento de datos personales que pueden tener un origen accidental o intencionado y que pueden derivar, como decimos, en una pérdida, destrucción, alteración, acceso no autorizado o comunicación no consentida a terceros.

¿Qué se debe hacer en estos casos?

El Reglamento General de Protección de Datos (En adelante, RGPD) establece la obligación de notificación a la Agencia Española de Protección de Datos (En adelante, AEPD) en un plazo máximo de 72 horas, de todas aquellas brechas de seguridad siempre que exista “riesgo para los derechos y libertades de las personas físicas”. Pero no solo eso, también se debe notificar la brecha de seguridad a todos aquellas personas que se hayan podido ver afectadas por el incidente en determinados supuestos.

Por tanto, para actuar ante una brecha de seguridad en el tratamiento de datos personales, lo primero es saber reconocerla y, a continuación, discernir si se debe comunicar a la autoridad competente y/o a las personas afectadas para, por último, adoptar las medidas técnicas y organizativas necesarias para minimizar los riesgos.

Existirá, en todo caso, obligación de comunicar la brecha de seguridad a la Autoridad de Control siempre que se hayan visto afectadas categorías especiales de datos personales (datos genéticos, políticos, biométricos, o relativos a la salud), siempre que los datos personales hayan quedado expuestos a cualquiera, o cuando “exista riesgo para los derechos y libertades de las personas físicas”.

La AEPD recibe alrededor de 1.500 notificaciones de brechas de seguridad al año

Sentados estos precedentes, hemos de indicar que la AEPD recibe alrededor de 1.500 notificaciones de brechas de seguridad al año.

La AEPD, en cuanto organismo dotado de la consideración de Autoridad de Control en materia de protección de datos, puede imponer sanciones –en ocasiones bastante elevadas- por no haber notificado una brecha de seguridad, por la ausencia de comunicación a los afectados, o por no haber adoptado medidas técnicas y organizativas para atenuar o eliminar dichos riesgos. También es la Autoridad de Control indicada de forma genérica para recibir las notificaciones de dichas brechas de seguridad.

Las sanciones que se pueden imponer en materia de brechas de seguridad son bastante elevadas dada la magnitud de los riesgos que conlleva. Por eso, la AEPD en su función de asesoramiento y ayuda al cumplimiento de la normativa de protección de datos, ha creado recientemente una herramienta denominada ASESORA-BRECHA por la que trata de ayudar a las empresas a realizar una gestión y actuación eficiente para comunicar cualquier brecha de seguridad a la autoridad de control competente. Así, asesora sobre quién está obligado a notificar la brecha de seguridad (generalmente es el responsable del tratamiento), qué sucesos pueden entrañar una brecha de datos personales, qué autoridad de control es la competente y si existe obligación de ser notificada a dicha autoridad competente y/o a los  perjudicados, en función del riesgo.

En este último supuesto, -cuando exista obligación de comunicar los datos personales a los afectados-, la AEPD ha creado otra plataforma denominada COMUNICA-BRECHA cuya función es el asesoramiento para identificar los supuestos en que un incidente de brecha de seguridad debe ser comunicado a los afectados por dicho suceso.

Es, sin duda, una excelente noticia pues supone un evidente avance para el adecuado cumplimiento de la normativa en protección de datos y, particularmente, respecto de brechas de seguridad. Y, aunque ambas herramientas suponen una ayuda a la toma de decisiones, esta corresponde ineludiblemente al responsable o encargado de  tratamiento y en ningún caso su utilización representa el pronunciamiento de la AEPD sobre si se han aplicado correctamente las obligaciones que impone el RGPD en sus artículos 33 y 34 en supuestos de brechas de seguridad concretas.

También la AEPD cuenta con una Guía para la notificación de brechas de seguridad, que viene a complementar el decálogo de recursos de ayuda de la AEPD.

Dejamos, para finalizar, algunos ejemplos de multas impuestas por la AEPD por brechas de seguridad que ponen de manifiesto la relevancia y magnitud de este tipo de cuestiones en cuanto al tratamiento de datos personales:

• Sanción impuesta a una conocida compañía aérea española por importe de 500.000€ por la brecha de seguridad y 100.000 euros por retraso en notificarla a la AEPD. La vulneración afectó a casi medio millón de interesados que incluía la información de datos bancarios.
• Sanción impuesta a una empresa por importe de 60.000€ al no haberse aplicado las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo. En concreto, la brecha de seguridad a la que nos referimos consistió en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas. Este incidente tuvo lugar en la sede de un sindicato de trabajadores.
• Sanción impuesta a un facultativo sanitario por importe de 5.000€. La brecha de seguridad consistió en la pérdida de un dispositivo en el que se almacenaba la grabación de una intervención quirúrgica para futuros usos científicos y docentes.
• Sanción impuesta a una cadena de establecimientos informáticos por importe de  20.000 €. La brecha de seguridad consistió en la venta de un pen drive que había sido usado por la entidad, y en la que se almacenaban datos personales de los trabajadores.

Desde HispaColex nos encargamos del asesoramiento integral a las empresas para la adaptación y cumplimiento de la normativa europea (RGPD) y nacional (LOPDPGDD) en materia de protección de datos, redacción de documentos y contratos relativos al tratamiento de datos personales, revisión de políticas de privacidad de empresas en entornos informáticos, cumplimiento de los derechos ARSULIPO (Acceso, rectificación, supresión, limitación del tratamiento, información, Portabilidad y Oposición), así como el asesoramiento para evaluación de brechas de seguridad y gestión derivada de las mismas.

Para resolver cualquier duda al respecto o cualquier otra cuestión relativa a Protección de Datos, puedes contactar con nuestro equipo de abogados especializados, o si prefieres, ven a visitarnos a nuestras oficinas de Granada, Málaga o Jaén. Estaremos encantados de ayudarte a resolver cualquier pregunta que nos plantees.

Otras publicaciones de HispaColex que te pueden interesar: 

• Propiedad industrial e intelectual. Derechos digitales.
• España primer país en Europa en imposición de multas por protección de datos

  Ana Isabel Caballero Ferrer - HispaColex

Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario