El Reglamento General de Protección de Datos introdujo la obligación de notificar las brechas o violaciones de seguridad de datos personales a las autoridades cuando se den ciertas circunstancias y también informar a los individuos cuyos datos personales se han visto comprometidos (artículos 33 y 34).

El Grupo de Trabajo del artículo 29 ya elaboró unas directrices generales sobre las notificaciones de brechas de datos en 2017. Sin embargo, el documento dejaba en el aire muchas cuestiones sobre la aplicación práctica de estas directrices.

Para dar respuesta a estas cuestiones, el Comité Europeo de Protección de Datos (CEPD) acaba de publicar una nueva guía orientada a la aplicación práctica de las notificaciones de brechas de seguridad con ejemplos de casos concretos que se apoya en la experiencia acumulada en estos últimos años por las distintas agencias europeas.

El objetivo es ayudar a los responsables de tratamiento a identificar con claridad una brecha de seguridad de modo que sepan en todo momento cómo deben proceder. Para ello, lo primero es tener claro qué es una “violación de la seguridad de los datos personales” algo que el artículo 4 del RGPD define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Una brecha de seguridad puede tener muchas repercusiones para un individuo que pueden ir desde riesgos para su integridad física a riesgos económicos. Por ello es fundamental que los responsables de tratamiento evalúen de antemano estos riesgos e implementen las medidas técnicas necesarias para atajarlas.

El encargado de tratamiento debe responder a una brecha de seguridad documentándola exhaustivamente tanto en sus causas como en sus consecuencias y en todas las medidas adoptadas para su resolución. Además, debe notificar a las autoridades salvo que considere que el riesgo de para los individuos sea bajo. Si, por el contrario, el riesgo para los individuos se considera alto, estos deben ser notificados también.

Es importante subrayar que si un responsable opta por no notificar basándose en una evaluación de riesgo como bajo y al final resulta que el riesgo era alto, se expone a sanciones.

Las brechas de seguridad son un problema en sí mismo, pero pueden ser también los síntomas de problemas de mayor calado dentro de una organización. Por lo tanto, la mejor forma de afrontar las brechas de seguridad es previniéndolas. Si una vulnerabilidad ha causado una brecha de seguridad, se debe investigar la razón para esta vulnerabilidad y si existe un riesgo para otras áreas.

El documento del CEPD se puede consultar en este enlace.

Guidelines 01/2021 on Examples regarding Personal Data Breach Notification