Brechas de seguridad en mi empresa, ¿y ahora qué?

En el día a día empresarial, uno de los problemas más reseñables a nivel de cumplimiento normativo tiene que ver con la existencia de brechas de seguridad o, como las denomina la normativa, violaciones de seguridad de los datos personales. Se trata de un problema que, lamentablemente, tarde o temprano suele aparecer en las compañías y que, de no atenderse con la diligencia debida, puede transformarse en un grave perjuicio al abanico de derechos y libertades del interesado y, en última instancia, un flagrante incumplimiento normativo por parte de la empresa y la consecuente sanción.

Ante esta problemática, conviene tener presente lo que la normativa indica al respecto, al objeto de poseer la metodología necesaria para hacer frente al mismo y mantener una posición proactiva. Recuérdese que, en muchas ocasiones, resulta inevitable la materialización de ciertas amenazas y riesgos, por lo que lo más importante es que se disponga de una Política interna que sea capaz de adelantarse a la proyección del impacto de esa materialización y a inhibir sus consecuencias en un tiempo razonable.

Por tanto, procedemos, a continuación, a establecer ciertas notas prácticas que pueden resultar útiles de cara a cómo proceder al respecto. Así, tomaremos en cuenta lo indicado por el legislador europeo en el RGPD, ya que en nuestra LOPD-GDD nada se dice al respecto.

 

¿Qué hacer ante una violación de seguridad de los datos?

Lo primero que se debe valorar es el nivel de riesgo de dicha violación. Así, sólo debemos tomarla realmente en consideración, y continuar con el resto del procedimiento, si constituye un alto riesgo para los derechos y las libertades de los interesados.

En este último caso, se debe proceder a la notificación de la existencia de dicha violación. Cabe tener en cuenta que esta obligación pesa tanto para el responsable como para el encargado, en su caso.

 

¿A quién debemos notificar?

De acuerdo con lo dispuesto en el artículo 33 del RGPD, se deberá notificar la violación de seguridad a la autoridad de control competente (AEPD o agencias autonómicas existentes, en su caso).

Asimismo, por regla general, en el caso de concurra un alto riesgo para el interesado, se deberá notificar al conjunto de afectados por la violación de seguridad. Pero existen ciertas excepciones a este respecto, a saber:

  • Que el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
  • Que el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.
  • Que suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

 

¿Cuándo debemos notificar la violación?

De acuerdo con el principio de proactividad y diligencia debida, lo correcto sería notificarla a los correspondientes organismos e itneresados en el momento en el que se tenga constancia de la misma, al menos a los afectados. En cualquier caso, no podrá excederse de 72 horas la comunicación a la autoridad de control.

 

¿Qué debo indicar en la notificación?

Según se desprende del artículo 33.3 del RGPD, el contenido mínimo de la comunicación debe reunir los siguientes puntos:

  • Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

En cualquier caso, se debe tener en cuenta que existe la posibilidad de facilitar la información de modo gradual a la autoridad de control, en la medida en que no dispongamos de toda la información simultáneamente y no transcurra demasiada dilación entre cada comunicación.

Calendario

febrero 2019
L M X J V S D
« Ene    
 123
45678910
11121314151617
18192021222324
25262728  

Nosotros

Somos una firma especializada en derecho digital con más de 4 años de experiencia en el sector.