Por Jaume Feliu.
Asesor LOPD-RGPD en GD Legal.
Según el RGPD, las violaciones de seguridad incluyen todo incidente que ocasione una destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a los mismos.
En este sentido, si no se toman a tiempo las medidas adecuadas, las violaciones de seguridad de los datos personales pueden provocar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Daños como, por ejemplo, la pérdida de control sobre los datos personales, la restricción de los derechos, la usurpación de identidad o pérdidas económicas, entre otros.
El responsable del tratamiento o, en su caso, el encargado de tratamiento, cuando tenga conocimiento de este hecho, deberá comunicar la incidencia al responsable en la mayor brevedad posible para activar los protocolos correspondientes.
Esta comunicación deberá realizarse en las 72 horas siguientes a haber tenido constancia de dicha violación.
Si no es posible realizarla en el plazo indicado, deberá acompañarse de una indicación donde se especifiquen los motivos de la demora.
Asimismo, la violación de seguridad deberá comunicarse a la Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas) y a los propios afectados.
El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias. Por ello, el RGPD requiere que se realice, sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es que el interesado afectado pueda reaccionar tan pronto como sea posible.
La UE, por su parte, ya ha confirmado que elaborará un formulario estandarizado, a nivel europeo, para facilitar a los responsables la presentación de unas notificaciones completas, según los criterios del RGPD.
En caso de que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas, podrá eximirse la comunicación de la violación. Aún y así, el responsable deberá analizar subjetivamente el supuesto concreto y determinar el improbable riesgo.
Por lo que, atendiendo a estos criterios, la notificación a los interesados no será necesaria cuando se den alguno de estos hechos:
- Que el responsable haya adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad.
- Que el responsable haya tomado, con posterioridad a la quiebra, medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.
Asimismo, en el caso de producirse una brecha de seguridad, se deberán seguir unos pasos para informar a la AEPD. Acciones como valorar el riesgo de la brecha, evaluar los daños materiales e inmateriales, calcular el alcance de éstos y diferenciar si tienen alto riesgo o gran impacto.
Una vez analizados esos puntos, habrá que comunicar la violación a la AEDP, a través de su canal online, citando de manera explícita la naturaleza de la violación, las categorías de datos y de interesados afectados, las medidas adoptadas por el responsable para solventar la quiebra y, si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados
Si no fuera posible facilitar la información indicada anteriormente de forma simultánea, dicha información deberá facilitarse a la Autoridad de Control de manera gradual y sin dilación.
24 de mayo de 2018.
