La Agencia Española de Protección de Datos (AEPD) ha publicado una actualización de su ‘Guía para la notificación de brechas de datos personales’, recogiendo la experiencia acumulada a nivel nacional y los criterios establecidos por el Comité Europeo de Protección de Datos, desde que en 2012 se publicó la primera versión, coincidiendo con el comienzo de la aplicación del el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016).
El principal propósito de esta actualización es guiar a los responsables de los tratamientos de datos personales y facilitarles el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica, al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.
Concepto de brecha de datos personales
La versión actualizada de la Guía recuerda que, de un modo amplio, el RGPD define las “brechas de datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Bajo este concepto, explica, deben entenderse también las expresiones “violación de la seguridad de los datos personales”, “brecha de seguridad de los datos personales”, “brecha de seguridad”, “quiebra de seguridad” y “quiebra de seguridad de los datos personales”, utilizadas en otros textos y procedimientos, algunosanteriores al RGPD.
Por el contrario, no tendrán consideración de brecha de datos personales sujetas a los artículos 33 y 34 del RGPD aquellos incidentes que:
• No afecten a datos personales, es decir, a datos que no sean de personas físicas identificadas o identificables
• No afecten a tratamientos de datos personales llevados a cabo por un responsable o un encargado.
• Ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.
Por lo tanto, no todos los incidentes de seguridad son necesariamente brechas de datos personales y no solo los ciberincidentes pueden ser brechas de datos personales. A su vez, no toda acción que suponga una vulneración de la normativa de protección de datos puede ser considerada una brecha de datos personales.
La Guía parte de la premisa de que cualquier organización se encuentra expuesta a sufrir una brecha de datos personales. De hecho, la Agencia destaca que durante los cinco primeros meses de 2021 ya ha gestionado más de 700 brechas de datos notificadas. La mayoría de ellas se han producido por un ataque externo e intencionado siendo el ransomware la amenaza más frecuente, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales.
Este tipo de incidentes, que puede tener un origen accidental o intencionado, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales, puede repercutir en los derechos y libertades de las personas, por lo que las organizaciones están obligadas a gestionarlas de forma adecuada.
La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación, analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación.
En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.
Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.
Además, la Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.
Nueva herramienta para comunicar a las autoridades y los afectados
Como complemento a la Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.
Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. La decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta. En ningún caso la Agencia almacena los datos consignados durante el proceso.