El RGPD define como brecha de seguridad de los datos personales todas aquellas violaciones de seguridad que ocasionen la destrucción, pérdida  o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Ejemplos de brecha de seguridad es la pérdida de un dispositivo que almacene datos (teléfono, portátil, tablet, disco duro…), el borrado accidental de datos, acceso a la base de datos de la organización por personal no autorizado, etc.

Obligaciones del responsable ante una brecha de seguridad

Desde el momento en que el responsable tiene conocimiento de que se ha producido la brecha de seguridad tiene la obligación de notificarlo a la autoridad de control correspondiente sin dilación indebida, y en un plazo no superior a 72 horas.

Excepción: se permite obviar esta notificación a la autoridad de control si atendiendo al principio de responsabilidad proactiva el responsable puede demostrar que la brecha de seguridad no supone ningún perjuicio para los derechos y libertades de los interesados.

Si la brecha de seguridad supone un alto riesgo para los derechos y libertades de las personas físicas, además de la notificación a la autoridad de control, deberá notificarse a los afectados sin dilación indebida y con un lenguaje claro, con el fin de que puedan adoptar las medidas que crean conveniente para su protección.

Identificado el incidente que ha provocado la violación de seguridad debe documentarse y hacerse un seguimiento del mismo en un registro de incidencias.

Además, el responsable debe adoptar las medidas necesarias para mitigar los efectos producidos por la violación de seguridad.

Contenido mínimo de una notificación de quiebra de seguridad

La notificación a la autoridad de control debe contener lo siguiente:

  • Datos identificativos y de contacto del responsable del tratamiento y el Delegado de Protección de Datos si estuviese designado. Además debe indicarse si es una notificación completa o parcial.
  • Datos sobre la brecha de seguridad: fecha y hora en la que se ha detectado, fecha y hora en la que se produjo el incidente y su duración, y circunstancias en las que se haya producido.
  • Naturaleza y contenido de los datos personales afectados.
  • Resumen del incidente que ha causado la brecha.
  • Consecuencias y efectos negativos para los afectados.
  • Medidas técnicas y organizativas adoptadas por el Responsable del tratamiento.
  • Categoría de los datos y registros que se hayan visto afectados.
  • Categoría y número de individuos afectados.
  • Posibles cuestiones de orden transfronterizo y necesidad o no de notificar a otras autoridades de control.

En relación con el afectado, la notificación debe incluir el siguiente contenido mínimo:

  • Datos de contacto del Delegado de Protección de Datos o en su defecto persona de contacto para obtener información.
  • Descripción general del incidente y del momento en que se produjo.
  • Posibles consecuencias de la brecha de seguridad.
  • Descripción de los datos afectados.
  • Resumen de las medidas implantadas para mitigar los daños.
  • Cualquier otra información que sea útil a los afectados para prevenir posibles daños.

Plazo para notificar la quiebra de seguridad

El RGPD dispone que la notificación a la autoridad de control debe realizarse sin dilación indebida y en todo caso siempre dentro de las 72 horas siguientes a que el responsable haya tenido conocimiento de ella, a menos que sea improbable que el incidente constituya un riesgo para los derechos y libertades de los afectados.

En caso de que dicho riesgo se haya producido y además sea un riesgo alto se debe comunicar a los afectados sin dilación, no establece por tanto el RGPD plazo determinado.    

Es posible que la notificación no pueda efectuarse dentro de las 72 horas por diversos motivos, como puede ser que no pueda determinarse inmediatamente el alcance de la violación de seguridad. En tales casos se permite que se realice una comunicación inicial indicando los motivos de la dilación. La notificación se hará con posterioridad, siempre justificando dicho retraso. Incluso si la información sobre el incidente no puede darse de forma completa se permite que se vaya ofreciendo según se vaya obteniendo, a mayor brevedad y sin dilación.

Si quieres profundizar en la regulación de este tipo de incidentes y su gestión puedes consultar la guía publicada por la Agencia Española de Protección de Datos; ofrece información muy interesante sobre los tipos de brechas, la respuesta que debe darse y otros aspectos.

Si producido un incidente de seguridad no tienes claro si debes comunicarlo o no, puedes utilizar la herramienta Comunica-Brecha que ofrece la AEPD.

Si deseas más información, siempre puedes ponerte en contacto conmigo a través de la página de contacto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *