✔ El pasado 25 de mayo, la Agencia Española de Protección de Datos (en adelante, “AEPD”) público una actualización de su “Guía para la notificación de brechas de datos personales” (https://www.aepd.es/sites/default/files/2019-09/guia-brechas-seguridad.pdf ). Se trata de un documento que tiene como finalidad guiar a las empresas en su obligación de notificar las violaciones de seguridad a las autoridades de protección de datos competentes.
Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse de forma obligatoria el Reglamento General de Protección de Datos (en adelante, “RGPD”), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos (en adelante, “CEPD”).
En el post de hoy explicaremos (i) qué criterios deben seguirse actualmente para notificar una violación de seguridad a las autoridades de control competente y, (ii) cómo se debe realizar la notificación (es decir, a través de qué medios).
¿Cuáles son los criterios para notificar una violación de seguridad a las autoridades de control competentes?
De conformidad con el artículo 33 RGPD, el Responsable del Tratamiento deberá notificar a la autoridad de protección de datos competente toda violación de seguridad que se produzca en el seno de su organización, sin dilación indebida y, de ser posible, a más tardar setenta y dos horas siguientes a que haya tenido constancia de la misma cuando sea probable que la violación suponga “un riesgo” para los derechos y libertades de los afectados.
El problema que surge en la práctica, es que no está definido en el RGPD en términos objetivos qué se entiende como “riesgo” y, por tanto, existen dudas a la hora de saber cuándo hay que notificar la violación de seguridad.
Para ayudar a despejar estas dudas, la AEPD publicó en el 2018 la “Guía para la gestión y notificación de las violaciones de seguridad” (actualmente sustituida por la Guía anteriormente indicada) donde ponía a disposición de los responsables una “posible política de notificación de brechas” basada en una fórmula matemática que indicaría cuándo la violación podría entrañar un “riesgo”:
PPP (Volumen) x I (Tipología de datos x Impacto): RIESGO |
Volumen (número de registros completos e identificativos)
|
Tipología (según el RGPD y sector)
|
Impacto (exposición)
|
Si el RIESGO resultante de la fórmula es superior a 20 (más o menos) ante la coincidencia de dos circunstancias cualitativas (marcadas en negrita), la entidad tendría que notificar la violación de seguridad a la autoridad de control. Para un mayor entendimiento pueden ponerse el siguiente ejemplo:
Ejemplo 1: Acceso por administrativa a 100 historiales clínicos de pacientes.
Como el resultado es menor que 20 (< 20), no habría que notificar la violación de seguridad. |
Tras la actualización de la Guía hace dos semanas, la AEPD elimina la referencia a esta fórmula matemática – quizá, por miedo a que fuera demasiado objetiva y no tuviera en cuenta otros factores subjetivos – y recomienda que, para saber ayudar a esclarecer si se debe notificar o no la violación de seguridad, se tengan en cuenta:
Los siguientes factores para evaluar el riesgo:
-
- Tipo de brecha de datos personales.
- Naturaleza, carácter sensible y el volumen de datos personales.
- Facilitad de identificación de las personas.
- Gravedad de las consecuencias para los derechos y libertades de las personas.
- Características particulares del Responsable del Tratamiento.
- Número de personas afectadas.
- Consideraciones generales.
- Los ejemplos sobre la valoración de la necesidad de notificar a la autoridad de control recogidos en el anexo B de las directrices WP250 (https://www.aepd.es/sites/default/files/2019-09/wp250rev01-es.pdf ).
- La colección de ejemplos relativos a la notificación de brechas de seguridad recogidos en las Directrices 01/2021 (https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf )
¿Cómo se debe realizar la notificación?
En el ámbito nacional, la autoridad competente es la AEPD, debiendo realizarse la notificación de forma preferente a través de su sede electrónica (https://sedeagpd.gob.es/sede-electronica-web/vistas/formBrechaSeguridad/procedimientoBrechaSeguridad.jsf ).
En el caso de Cataluña, la autoridad competente es la Autoridad Catalana de Protección de Datos (https://apdcat.gencat.cat/es/inici/ ) debiendo realizarse a través de su sede electrónica.
En el caso del País Vasco, la autoridad competente es Agencia Vasca de Protección de Datos debiendo realizarse mediante el correo electrónico avpd@avpd.eus .
En el caso de Andalucía, la autoridad competente es el Consejo de Transparencia y Protección de Datos de Andalucía, debiendo realizarse a través de su ventanilla electrónica.
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.