Las brechas de seguridad también denominadas violaciones de seguridad de datos personales pueden provocar el acceso a información de carácter personal por parte de terceros.

Es por ello que la normativa en materia de protección de los datos personales ampara este tipo de situaciones.

¿Qué es una brecha de seguridad?

La brecha de seguridad de datos personales, también denominada violación de la seguridad de los datos personales,  aparece definida en el RGPD como: “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

¿Cómo actuar?

El responsable del tratamiento deberá adelantarse e implementar mecanismos de control que permitan detectar las brechas de seguridad de datos de carácter personal. En este sentido, en el caso de que ocurra una brecha de seguridad el responsable del tratamiento deberá llevar acabo un plan de actuación donde se establezcan las tareas y/o acciones que permitan reducir las consecuencias ocasionadas con la brecha de seguridad y así evitar que vuelva a producirse en un futuro una violación de seguridad.

Asimismo, en función de las consecuencias ocasionadas y la severidad de las mismas, el responsable del tratamiento deberá tomar unas decisiones u otras y valorar la necesidad de notificar a la autoridad de control, la Agencia Española de Protección de datos y afectados.

En este sentido, se deberá tener en cuenta: el origen de la brecha, las categorías de los datos, si son especiales o no, volumen de los afectados, categoría de los mismos, cómo ha ocurrido la brecha, etc.

Procedimiento a seguir para comunicar a los afectados una brecha de seguridad

En primer lugar el responsable del tratamiento a la hora de realizar la valoración y estudio de la brecha de seguridad deberá tener en cuenta los siguientes documentos: (i) el registro de actividades de tratamiento y el (ii) análisis de riesgos. Ambos documentos legales deben estar correctamente adaptados y actualizados.

Asimismo, el encargado del tratamiento también tendrá la obligación de notificar sin dilación indebida al responsable del tratamiento de las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

Por otro lado, señalar que si el responsable del tratamiento considera que la brecha de seguridad constituye un riesgo para las libertades y derechos de los Usuarios se debe notificar a la Agencia Española de Protección de datos en un plazo máximo de 72 horas desde que el responsable del tratamiento tenga constancia de la violación de seguridad producida. De este modo, el responsable lo comunicará telemáticamente a través de la sede electrónica de la AEPD.

Aun así, resulta recomendable comunicar y notificar a la Agencia Española de Protección de datos cualquier violación de seguridad en los datos personales. De este modo, el responsable del tratamiento cumplirá con el deber de transparencia y de proactividad que recoge el Reglamento de Protección de Datos Personales.

No obstante, en el caso de que la violación de seguridad suponga un alto riesgo se deberá comunicar a la Agencia Española de Protección de datos sin dilación indebida a los afectados a través del medio que se emplee habitualmente para ponerse en contacto con los mismos, dirigiéndose en un lenguaje sencillo, explicándoles claramente lo sucedido y las medidas que se han tomado como consecuencia de la brecha de seguridad.

Protocolos para proteger tus bases de datos

Hay que tener en cuenta que el responsable del tratamiento deberá llevar un registro de las brechas de seguridad que haya sufrido en el que queden recogidas y se justifiquen todas las medidas, decisiones y/o acciones que se han llevado a cabo y los motivos por los cuales se han tomado. Es muy importante que este documento esté completo y actualizado ya que en cualquier momento puede ser requerido por la Agencia Española de Protección de datos.

Letslaw es un despacho de abogados de nuevas tecnologías especializados en Internet, donde podemos ofrecerles un asesoramiento legal especializado y de calidad en materia de protección de datos.