Anteriormente, en el artículo denominado “Tipos de brechas de seguridad RGPD” hemos definido y despejado dudas teóricas que existen respecto al concepto de brecha de seguridad y su clasificación. En esta oportunidad, intentaremos determinar cuando es necesario la notificación de dicha brecha a la autoridad de control y cuando, a los interesados que han sido afectados.
¿Qué es una brecha de seguridad?
Una brecha de datos personales es un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.
Una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales; por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.
Normativa aplicable
El artículo 33 del Reglamento General de Protección de Datos (en adelante, RGPD) impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.
El responsable de tratamiento debe valorar el nivel de riesgo de una brecha de datos personales y notificarla a la autoridad de control cuando exista tal riesgo, y además cuando el riesgo sea alto el responsable también deberá comunicar la brecha a las personas afectadas conforme al artículo 34 del RGPD.
Asimismo, para más información sobre la normativa e interpretación realizada por la Agencia Española de Protección de Datos (en adelante, AEPD); consulte en este blog el artículo denominado ¿Cuándo se debe notificar una violación de seguridad según la nueva actualización de la “Guía para la notificación de brechas de datos personales”?, donde se analizan las novedades introducidas en la última guía publicada por la AEPD.
Plazo de notificación
El plazo para notificar a la autoridad de control es de 72 horas desde que la organización tiene constancia de la brecha.
Forma de comunicación a la AEPD y a los interesados
Las notificaciones de brechas de datos personales a la AEPD se deben realizar de forma electrónica, usando el formulario de notificación de brechas de datos personales de la Sede Electrónica para garantizar una correcta ejecución de las obligaciones del artículo 33.3 del RGP.
La comunicación a las personas afectadas debe realizarse en un lenguaje claro y sencillo, dirigirse específicamente a aquellas personas para las que exista un riesgo alto de que sus derechos y libertades pueden verse dañados, e incluir el siguiente contenido mínimo:
- Datos de contacto del DPD, o en su caso, del punto de contacto en el que pueda obtenerse más información.
- Descripción general del incidente y momento en que se ha producido.
- Las posibles consecuencias de la brecha de datos personales.
- Descripción de los datos e información personal afectados.
- Resumen de las medidas implantadas hasta el momento para controlar los posibles daños.
- Otras informaciones útiles para que los afectados puedan proteger sus datos o prevenir posibles daños.
La comunicación preferentemente se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que el responsable considere adecuado.
Cuando la comunicación a los afectados suponga un esfuerzo desproporcionado con relación a los riesgos para los derechos y libertades que están sufriendo los interesados, se podrá realizar una comunicación indirecta a través de avisos públicos.
Una comunicación incompleta (sin el contenido mínimo), de difícil acceso o realizada a las personas incorrectas no es efectiva, por lo que una comunicación en estas condiciones podría llegar a considerarse una comunicación no realizada.
Herramienta para evaluar la necesidad de comunicación
Comunica-Brecha RGPD es un recurso de utilidad para que cualquier organización, responsable de un tratamiento de datos personales, pueda valorar la obligación de informar a las personas físicas afectadas por una brecha de seguridad de los datos personales, tal y como establece el artículo 34 del Reglamento General de Protección de Datos. es una ayuda a la toma de decisiones, pero esta última corresponde ineludiblemente al responsable de tratamiento y en ningún caso su utilización representa el pronunciamiento de esta Agencia sobre la aplicación del art. 34 del RGPD para una brecha de seguridad concreta.
https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDM3NjA0ODkxNjM5NTU3NDQyODI5?updated=true
No obstante, en aquellos casos en los que el responsable considere que no existieran riesgos para los derechos y libertades de las personas físicas el responsable tiene la obligación de documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas, dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD.