Con la nueva Ley De Protección de Datos , LOPDGDD, se habla constantemente de Seguridad y de Brechas de Seguridad, pero, realmente tenemos una definición exacta o sabemos qué es ya que una violación o brecha de seguridad es un concepto muy amplio.

No hay una definición expresa en ningún artículo en la normativa.

Puede ser una modificación sin permiso del administrador de una base de datos, una pérdida parcial o total de la misma, o incluso la destrucción de las copias de seguridad.

Estos incidentes deben ser tratados con suma cautela y tal como indica la normativa, porque no solo supone un agravio para tu empresa, si no que esos datos de tus clientes puede caer en malas manos y ellos también sufrir las consecuencias.

En los Considerandos dice que una brecha de seguridad es “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

Asimismo el Reglamento General de Protección de Datos (RGPD) enuncia en los artículos 33 y 34 que las brechas de seguridad deben ser notificadas a la autoridad de control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

¿Esto qué quiere decir?

Que siempre que en el ataque se vean afectados datos de carácter personal de personas físicas deberemos comunicarlo a la Agencia Española de Protección de Datos.

Además, deberemos notificarla en un plazo máximo de 72 horas a contar desde que tengamos conocimiento de la brecha.

1.  Apuntar en el registro interno la incidencia detectada.

El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.

Una vez resuelta la brecha se deberá también registrar la solución al problema.

Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.

2.  Averiguar si supone un riesgo para los derechos y libertades de los afectados.

¡Este paso es clave!, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.

¿Pero cómo saber si supone un riesgo?

El legislador nos ha dotado de una serie de criterios y ejemplos para poder dilucidarlo.

Se encuentran recogidos en el considerando 75 del RGPD y son los siguientes:

▶ Que pueda provocar daños y perjuicios físicos, materiales o inmateriales:

• Problemas de discriminación.
• Usurpación de identidad o fraude.
• Pérdidas financieras.
• Daño para la reputación.
• Pérdida de confidenicalidad de datos sujetos al secreto profesional.
• Reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo.

▶ Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen:

• El origen étnico o racial.
• Las opiniones políticas.
• La religión o creencias filosóficas.
• La militancia en sindicatos.
• El tratamiento de datos genéticos.
• Datos relativos a la salud o datos sobre la vida sexual.
• Relativos a las condenas e infracciones penales o medidas de seguridad conexas.

▶ En los casos en los que se evalúen aspectos personales:

• En particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo.
• Situación económica.
• Datos de salud.
• Preferencias o intereses personales.
• Fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales.
• En los casos en los que se traten datos personales de personas vulnerables, en particular niños.

Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.: https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf

3.  Notificación de la brecha de seguridad.

Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.

¿Quién debe notificar las brechas de seguridad?

El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.

¿Y si mi empresa tiene DPO?

En este caso será el Delegado de Protección de Datos el encargado de la notificación.

¿Existe un plazo determinado?

Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.

El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.

Como el 99,9% de las entidades, contratamos con terceros que nos prestan algún servicio, como la gestoría que nos lleva la nóminas, la empresa de informática, etc.

Estos tienen acceso a parte de los datos de los que somos responsables, y también pueden sufrir una brecha de seguridad.

Si eso pasa, deben notificar inmediatamente al responsable, que tiene la obligación de realizar la notificación a la AEPD y a los afectados.

Para que no se le “olvide” al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.

🚨 NO 🚨

La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.

A los afectados debes dirigirte de una forma menos oscura para ellos, utilizando términos claros y fácil, entendibles, y explicándoles en qué les puede afectar esta brecha y cómo lo estamos solucionando.

Sí y no.

No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas.

• Los casos que recoge la guía donde no habría obligación de comunicar estas brechas se describen a continuación:

• Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales.

• Siempre que estas medidas sean previas a la brecha de seguridad.

• Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados.

• Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.

Como estaremos oyendo por todos lados, la nueva normativa endurece las sanciones de forma considerable.

Por ejemplo, en este caso, si incumplimos la obligación de notificar las brechas de seguridad seremos considerados infractores graves, lo cual nos puede acarrear sanciones en forma de multa administrativa:

De 10 millones de euros como máximo.

Una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Siempre se optará por el de mayor cuantía.

En Grupo Altabir,  Consultoría especializada en la implantación de la Ley de Protección de Datos en Granada con más de 20 años de experiencia, te ayudamos a  cumplir con la normativa y te implantamos la LOPD designándote un DPO para que te despreocupes de todo y te centres sólo en sacar tu empresa adelante dejando en nuestras manos todo lo que corresponde a la Normativa.

Solicítanos más información

¡QUIERO MÁS INFORMACIÓN!

www.altabir.es

Artículo publicado por Elisa Campoy Soler