¿Qué debo hacer si sufro una brecha de seguridad?

“Cuando constituya un riesgo para los derechos y las libertades de las personas”, una violación de seguridad tiene que ser notificada ante la Agencia Española de Protección de Datos (AEPD) y, además, si dicha violación de seguridad entraña un ‘alto riesgo’, el responsable del tratamiento tiene que comunicárselo al interesado.

Lo cierto es que las vulnerabilidades comunicadas durante el año 2020 han sido 1370, que no ofrecen una cifra preocupante, como tampoco lo son las 88 presentadas durante el mes de enero.

Sin embargo, no por ello es menos importante implementar herramientas adaptadas a lo expuesto en el Reglamento General de Protección de Datos Europeo (RGPD) y para ello debemos saber:

¿A quién debo notificar una violación de seguridad?

Una violación de seguridad de los datos personales deberá ser notificada a la autoridad de control correspondiente (Agencia Española de Protección de Datos, o AEPD, en el caso de España) cuando constituya un riesgo para los derechos y las libertades de las personas físicas (los interesados).

¿También a los interesados?

Si dicha violación de seguridad entraña un ‘alto riesgo’ para los derechos y las libertades del interesado, el responsable del tratamiento deberá además comunicarla al interesado.

¿Qué deben de hacer los encargados de tratamiento?

Los encargados del tratamiento que sufran una violación de seguridad deberán notificarla al responsable del tratamiento sin dilación indebida. Dicho responsable es quien tendrá la obligación de comunicarla a la autoridad de control, y a los interesados si fuera necesario.

¿Qué se considera violación de seguridad?

  • El robo de información
  • Destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

¿Hay algún procedimiento formal de comunicación de las violaciones de seguridad?

El RGPD establece un método formal de comunicarse las violaciones de seguridad cada organización contará con sus propias políticas internas con el fin de gobernar cómo debería de ser su proceso de comunicación. Sin embargo, la notificación a los interesados debe incluir la siguiente información:

  • La naturaleza de la violación de seguridad de los datos personales.
  • El nombre de contacto con la organización para obtenerse más información, en su caso será el del delegado de protección de datos.
  • Las posibles consecuencias de la violación de la seguridad.
  • Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad.
  • Las medidas adoptadas para mitigar los posibles efectos negativos.
  • Cuando se hayan visto afectados por una violación de seguridad un grupo significativo de personas una comunicación de índole pública podría considerarse como un medio apropiado para dicha notificación.

En cuanto a las comunicaciones con la AEPD

La AEPD ha establecido un canal para la notificación de quiebras de seguridad en el ámbito de las comunicaciones electrónicas.

¿Qué consecuencias tiene no notificar una violación de seguridad dentro del límite de 72 horas?

Multas administrativas de hasta 10 000 000 EUR o el equivalente al 2 % como máximo del volumen de negocio del ejercicio financiero anterior, optándose por la de mayor cuantía.

Merece la pena mencionar que en casos en los que no pueda notificarse una violación de seguridad dentro de esas 72 horas debido a la complejidad a la hora de determinar, por ejemplo, el alcance de la misma, se podrá notificar posteriormente acompañando dicha notificación de una explicación respecto al retraso de la misma e, igualmente se podrá notificar una violación de forma escalonada, cuando esta no sea posible realizarse completa en el mismo momento.

La sospecha de que se haya producido una violación de seguridad o no contar con el conocimiento sobre las circunstancias no daría lugar a la obligación de notificación del incidente, ya que precisamente el desconocimiento de las circunstancias hace imposible la determinación del riesgo para los derechos y las libertades del interesado, condición indispensable para determinar la necesidad de notificación.

La comunicación a los interesados no sería necesario cuando se hayan implementado medidas técnicas y organizativas con anterioridad a la violación de seguridad, y que resulten que el acceso a los datos haya sido inteligible para terceros (cifrado). Tampoco será necesaria la comunicación a los interesados cuando se hayan tomado medidas con posterioridad que imposibiliten la existencia de la materialización un alto riesgo. Por último, no hará falta notificar la violación de seguridad a los interesados cuando requiera un esfuerzo desproporcionado, en cuyo caso la alternativa vista con buenos ojos es una comunicación pública.

Share This Story, Choose Your Platform!

Contactemos

Hablemos de cómo podemos ayudarte

Thank you for your message. It has been sent.
There was an error trying to send your message. Please try again later.

Responsable: Mendo Legal Tic + info Finalidades: comunicaciones de servicios del Responsable.+ info Legitimidad: consentimiento del interesado + info Destinatario: encargados del tratamiento y sociedades del grupo + info Derechos: los reconocidos por la normativa de protección de datos y/o revocación del consentimiento detallados en la Política de privacidad. + info Información adicional: política de privacidad aquí