¿Quién está obligado a notificar una violación de la seguridad de los datos personales a la autoridad de control? Novedades del Reglamento Europeo de Protección de Datos.
Hasta ahora, nuestra normativa española de protección de datos obligaba a notificar a los operadores de servicios de comunicaciones electrónicas disponibles al público las brechas de seguridad que fuesen producidas por una violación en los sistemas que afecten a los ficheros de datos. Si bien es cierto que la obligación de notificar recaía únicamente en este tipo de prestadores de servicios, cualquier persona jurídica así como los ciudadanos que tuvieran conocimiento de la brecha y la violación de datos, podían iniciar una denuncia ante la Agencia Española de Protección de Datos (en adelante AEPD).
Una de las principales novedades del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante Reglamento Europeo de Protección de Datos), es que extiende la responsabilidad de notificar a todos los responsables del tratamiento de datos:
- Tanto responsable del fichero como encargado de tratamiento están obligados a comunicar brechas de seguridad.
- En el primer caso, el responsable del fichero notificará a la autoridad de control competente la citada brecha, en el plazo de 72 horas, o posteriormente acompañada de indicación de los motivos de la dilación describiendo:
- Su naturaleza: inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto.
- Consecuencias: describir las posibles consecuencias de la violación de la seguridad de los datos personales.
- Medidas adoptadas: para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Si no fuera posible la comunicación simultanea de toda la información anteriormente detallada, esta se facilitará de manera gradual.
- Se documentarán las posibles brechas indicando los hechos relacionados con ella, sus efectos y las medidas correctivas.
Además se prevé la comunicación al interesado, cuando se cumplan los siguientes requisitos:
– Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.
– Se describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas.
Sin embargo, no será necesaria la comunicación al interesado:
- si el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado*;
- si el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado, o si la comunicación supone un esfuerzo desproporcionado. (En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.)
Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el anteriormente .
