Reglamento europeo de protección de datos personales: nueva obligación por parte de las empresas de reportar las brechas de seguridad.

Dentro de pocas semanas habrá un nuevo marco legal aplicable en materia de protección de datos personales, que será de aplicación directa y uniforme en todos los países de la Unión Europea.

El 25 de mayo de 2018 es la fecha fijada para la aplicación del Reglamento europeo de protección de datos. Desde esta fecha, todas las empresas y organizaciones que realizan en sus distintas actividades, tratamiento de datos de personas físicas están obligadas a cumplir con las disposiciones del citado Reglamento General de Protección de Datos (RGPD), UE 2016/679, de 27 de abril de 2016.

En este artículo comentaremos una de las nuevas obligaciones que introduce el RGPD: la obligación por parte de las empresas de notificar a las autoridades de control las brechas o vulneraciones de la seguridad de los datos personales que traten en el ámbito de su actividad.

A partir de mayo de este año, en el supuesto que la información de nuestra empresa se haya visto afectada o comprometida por un ataque informático o nuestra compañía sea víctima de lo que se denomina una ciberamenaza (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información, malware -por ej. los troyanos-, …), deberá reportarse la incidencia sufrida a la Agencia de Protección de Datos.

El RGPD define las violaciones de la seguridad de los datos como todo incidente “que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Una violación de seguridad puede implicar la pérdida de datos personales que tratamos en nuestra actividad o el acceso de un tercero no autorizado a la misma. En tales circunstancias, se debe notificar la brecha de seguridad sufrida a las autoridades de control.

La notificación de las violaciones de seguridad de los datos

La citada nueva obligación está regulada en el artículo 33 del RGPD.

Conforme a esta disposición, la empresa u organización que sufra una brecha en la seguridad de sus sistemas de información que afecte a datos personales, bien de clientes o bien de trabajadores, deberá notificarla a la autoridad de control. En nuestro caso, la notificación deberá enviarse a la Agencia Española de Protección de Datos.

La comunicación deberá hacerse en el plazo de 72 horas desde que se haya tenido constancia de la vulneración de la seguridad de los datos, debiendo notificarse lo siguiente:

  • Una descripción de la naturaleza de la violación de la seguridad de los datos personales (por ejemplo, robo de un ordenador portátil con datos personales de trabajadores y/o de clientes) y, cuando sea posible, las categorías y el número aproximado de personas afectadas, categorías de datos que se almacenaban (datos identificativos de personas físicas, sus datos de salud, datos bancarios, información fiscal, …) y el número aproximado de registros de datos personales afectados
  • Comunicar el nombre y los datos de contacto del responsable de la empresa afectada. En caso de tener designado un delegado de protección de datos, se deben enviar sus datos.
  • La descripción de las posibles consecuencias de la violación de la seguridad de los datos personales
  • Indicar las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no fuera posible facilitar toda la información antes reseñada, y en la medida en que no lo sea, la información se notificará gradualmente, sin dilación indebida.

Por otro lado, cuando la violación de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas afectadas, se debe también notificar a las personas afectadas por el robo de la información o por el acceso indebido por parte de terceros.

En tal sentido, el considerando 86 del RGPD establece que se “…debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias”. Y añade el citado considerando que “la comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares”.

Por el contrario, no será necesario notificar las violaciones o brechas de seguridad sufridas a las personas afectadas, cuando exista una baja probabilidad de que el riesgo se materialice.

Así, en el caso que se hayan adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se hayan aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas medidas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.

Consecuencias del incumplimiento del deber de notificar las violaciones de seguridad

El incumplimiento de la obligación de comunicar las violaciones de seguridad está sujeto a una penalización muy importante, pudiendo suponer una multa una multa de hasta 10 millones de euros o el 2% de los ingresos totales anuales de la entidad. Por todo ello, es fundamental que todo el personal de la organización sea consciente de qué es una incidencia relacionada con protección de datos y como debe actuarse ante la misma.

 

Últimas noticias