Brechas de datos personales: Cómo actuar
El desarrollo de las nuevas tecnologías nos ha convertido en testigos del incremento de los riesgos para el derecho al respeto de la vida privada, desencadenando en la necesidad de contar con normas que regulen específicamente el tratamiento de información personal de los ciudadanos.
Paralelamente, sufrir un incidente de seguridad se ha convertido en una cuestión de probabilidades. Ésta es una realidad difícil de asumir, no sólo desde el punto de vista técnico, sino también por las consecuencias económicas que puede ocasionar en la empresa.
Por tanto, corresponde intentar evitar las brechas de datos personales y, en caso de que sucedan, gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.
¿Qué es una brecha de datos personales?
Si bien todas las brechas de datos personales son incidentes de seguridad de la información, no todo incidente de seguridad es necesariamente una brecha de datos personales.
La Agencia Española de Protección de Datos (en adelante, “AEPD”) define una brecha de seguridad como “un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos”.
Por tanto, para que un incidente sea calificado como brecha de datos personales se requiere una afectación de datos personales.
¿Cuándo debe notificarse una brecha de seguridad a los interesados?
De conformidad con el artículo 34 del Reglamento General de Protección de Datos (en adelante, RGPD), los responsables de un tratamiento de datos tienen la obligación de comunicar a las personas afectadas aquellas brechas de datos personales que puedan entrañar un riesgo alto para sus derechos y libertades.
Si bien la guía elaborada por la AEPD en 2018 establecía una sencilla fórmula matemática para discernir la necesidad (o no) de comunicar la brecha, la nueva guía obvia todo criterio matemático para centrarse en la importancia de analizar la naturaleza y las consecuencias de cada brecha de forma individualizada.
En concreto, se establecen como requisitos fundamentales a estos efectos: (i) analizar la severidad del riesgo generado por la brecha, (ii) la probabilidad de que este riesgo se materialice y (iii) la afectación a Derechos Fundamentales.
Protocolo a seguir ante una brecha de seguridad de datos personales en tu empresa
Ante una brecha de datos personales, corresponde elaborar un plan de acción organizado en el que, entre otras, se especifiquen acciones destinadas a determinar la raíz de ésta; concretar la extensión, el impacto y la severidad de sus efectos; o neutralizar sus daños.
Asimismo, de conformidad con el RGPD, las empresas deberán documentar cualquier violación de la seguridad de los datos personales, incluyendo detalles de los hechos, sus efectos y las medidas correctivas adoptadas. Esta obligación se torna esencial en el contexto de ser investigados por la AEPD, ya que la documentación elaborada permitirá a la autoridad de control verificar el cumplimiento con las obligaciones impuestas en el RGPD.
Cabe señalar que, además de la obligación de notificar la brecha a los interesados, el RGPD en su artículo 33 impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.
En conclusión, una brecha de datos personales puede ser la semilla de la que germinen efectos adversos de importante magnitud para las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales.
Por ello, desde Letslaw by RSM recomendamos tomar conciencia e implementar medidas de prevención -que llevan implícitos costes económicos- aunque a priori no se traduzcan en un retorno de la inversión claro, ya que a la larga reducirán el riesgo de sufrir este tipo de brechas.
En todo caso, el resgo cero no existe y ante una brecha de seguridad, lo más recomendable es ponerse en manos de expertos en la materia que puedan analizar la casuística de conformidad con la legislación vigente para así evitar infracciones que pueden resultar en costosas multas.
Letslaw by RSM cuenta con especialistas en materia de derecho digital dispuestos a ayudarte para prevenir una brecha de seguridad o paliar los efectos de ésta si ya se hubiera producido.
Marta Moreno cuenta con experiencia profesional internacional trabajando tanto en inglés como en francés en el seno de empresas como Microsoft o IBM en las que se ha dedicado al asesoramiento legal en materias como protección de datos, contratación, comercio electrónico o compliance penal.
Artículos Relacionados
La AEPD sanciona a una empresa titular de webs para adultos por un uso ilícito de datos personales
Se filtran datos personales de más de 37.000 riders de Glovo
Publicado el Dictamen de la Comisión de Justicia sobre el Proyecto de Ley Orgánica de Datos Personales y Garantía de Derechos Digitales
Delitos informáticos: difusión de datos personales y /o familiares.
La anonimización de los datos y la nueva Guía publicada por la AEPD
La Unión Europea da el último paso para la aprobación de la Ley de Gobernanza de datos