El nuevo Reglamento General de Protección de Datos (RGPD) contiene una definición específica de la violación de la seguridad de los datos personales y estipula unos requerimientos de notificación tanto a las autoridades de supervisión como a las personas cuyos datos se han visto afectados.
Los “datos personales” se definen tanto en la Directiva de Protección de Datos 95/46/EC (a la que el RGPD sustituye) como en la propia RGPD como “toda información sobre una persona física identificada o identificable («el interesado»)”. En el texto del nuevo reglamento se identifica la “violación de la seguridad de los datos personales” como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. De este texto se infiere que no es necesario que esa fuga haya dado lugar a un fraude, a un robo de identidad o cualquier otro delito, el mero hecho de que los datos hayan sido expuestos se considera fuga de datos.
La comunicación a las autoridades
En caso de una fuga de datos, el responsable del tratamiento de datos debe notificarla a la autoridad supervisora competente del país. La notificación se debe presentar “sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella”. Si la notificación no se realiza en las 72 horas posteriores, el responsable debe proporcionar una justificación razonable.
El Artículo 33(1) contiene una excepción clave para la obligatoriedad de notificación a las autoridades: la notificación será necesaria “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas” algo que deja lugar al criterio y discusión por parte de la organización a la hora de decidir si notificar o no una fuga de datos.
La notificación a las autoridades debe al menos:
1) describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo las categorías, el número de interesados afectados y de registros de datos personales afectados;
2) proporcionar los datos de contacto del delegado de protección de datos;
3) “describir las posibles consecuencias de la violación de la seguridad de los datos personales”;
4) informar sobre cómo el responsable del tratamiento planea hacer frente a la violación de la seguridad de los datos personales, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.
La comunicación a los interesados
Si el responsable del tratamiento de datos determina que es “probable” que la violación de la seguridad de los datos personales “entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”.
El RGPD proporciona excepciones para la obligatoriedad del requerimiento de notificación a los interesados:
1) cuando el responsable del tratamiento “ha adoptado medidas de protección técnicas y organizativas apropiadas”
2) el responsable del tratamiento ha tomado “medidas ulteriores” para evitar que el riesgo para los interesados se materialice.
3) cuando la notificación supusiese un “esfuerzo desproporcionado” en cuyo caso se optaría por una comunicación pública o o una “medida semejante por la que se informe de manera igualmente efectiva a los interesados”.
