logo

Brechas de datos personales: Cómo actuar

LetsLaw / Derecho Digital  / Brechas de datos personales: Cómo actuar
Brechas de datos personales

Brechas de datos personales: Cómo actuar

El desarrollo de las nuevas tecnologías nos ha convertido en testigos del incremento de los riesgos para el derecho al respeto de la vida privada, desencadenando en la necesidad de contar con normas que regulen específicamente el tratamiento de información personal de los ciudadanos. 

Paralelamente, sufrir un incidente de seguridad se ha convertido en una cuestión de probabilidades. Ésta es una realidad difícil de asumir, no sólo desde el punto de vista técnico, sino también por las consecuencias económicas que puede ocasionar en la empresa.  

Por tanto, corresponde intentar evitar las brechas de datos personales y, en caso de que sucedan, gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.

¿Qué es una brecha de datos personales?

Si bien todas las brechas de datos personales son incidentes de seguridad de la información, no todo incidente de seguridad es necesariamente una brecha de datos personales.

La Agencia Española de Protección de Datos (en adelante, “AEPD”) define una brecha de seguridad como “un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos”.

Por tanto, para que un incidente sea calificado como brecha de datos personales se requiere una afectación de datos personales. 

¿Cuándo debe notificarse una brecha de seguridad a los interesados?

De conformidad con el artículo 34 del Reglamento General de Protección de Datos (en adelante, RGPD), los responsables de un tratamiento de datos tienen la obligación de comunicar a las personas afectadas aquellas brechas de datos personales que puedan entrañar un riesgo alto para sus derechos y libertades. 

Si bien la guía elaborada por la AEPD en 2018 establecía una sencilla fórmula matemática para discernir la necesidad (o no) de comunicar la brecha, la nueva guía obvia todo criterio matemático para centrarse en la importancia de analizar la naturaleza y las consecuencias de cada brecha de forma individualizada. 

En concreto, se establecen como requisitos fundamentales a estos efectos: (i) analizar la severidad del riesgo generado por la brecha, (ii) la probabilidad de que este riesgo se materialice y (iii) la afectación a Derechos Fundamentales.  

Protocolo a seguir ante una brecha de seguridad de datos personales en tu empresa

Ante una brecha de datos personales, corresponde elaborar un plan de acción organizado en el que, entre otras, se especifiquen acciones destinadas a determinar la raíz de ésta; concretar la extensión, el impacto y la severidad de sus efectos; o neutralizar sus daños.

Asimismo, de conformidad con el RGPD, las empresas deberán documentar cualquier violación de la seguridad de los datos personales, incluyendo detalles de los hechos, sus efectos y las medidas correctivas adoptadas. Esta obligación se torna esencial en el contexto de ser investigados por la AEPD, ya que la documentación elaborada permitirá a la autoridad de control verificar el cumplimiento con las obligaciones impuestas en el RGPD.

Cabe señalar que, además de la obligación de notificar la brecha a los interesados, el RGPD en su artículo 33 impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.

En conclusión, una brecha de datos personales puede ser la semilla de la que germinen efectos adversos de importante magnitud para las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales. 

Por ello, desde Letslaw recomendamos tomar conciencia e implementar medidas de prevención -que llevan implícitos costes económicos- aunque a priori no se traduzcan en un retorno de la inversión claro, ya que a la larga reducirán el riesgo de sufrir este tipo de brechas. 

En todo caso, el resgo cero no existe y ante una brecha de seguridad, lo más recomendable es ponerse en manos de expertos en la materia que puedan analizar la casuística de conformidad con la legislación vigente para así evitar infracciones que pueden resultar en costosas multas.  

Letslaw cuenta con especialistas en materia de derecho digital dispuestos a ayudarte para prevenir una brecha de seguridad o paliar los efectos de ésta si ya se hubiera producido. 

Contáctanos

    Al pulsar en "Enviar" aceptas nuestra Política de Privacidad - + Información, para tratar tus datos con la finalidad de tramitar las consultas que puedas plantearnos.

    Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información