En la era digital actual, la cantidad de datos personales que se recaban, almacenan y tratan por parte de las organizaciones ha alcanzado niveles sin precedentes, por lo que cada vez están más expuestas a sufrir incidentes que afecten a los mismos. El responsable y/o encargado del tratamiento de estos datos deben llevar a cabo una gestión adecuada de estos incidentes cuando tienen lugar, porque el RGPD determina que en estos casos se deben acometer una serie de actuaciones específicas (registro, mitigar sus consecuencias, notificación a la AEPD, informar a los interesados, etc.), y para ello es esencial disponer de un protocolo de actuación para gestionarlos adecuadamente.
1. Qué es una violación o brecha de la seguridad de datos personales
Es cualquier violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; y que podría producir daños sobre los derechos y libertades de las personas físicas cuyos datos personales se están tratando.
2. Qué no se considera una brecha de datos personales
Cualquier incidente de seguridad que:
- No haya afectado a datos personales o tratamientos de datos personales, dado que no podría producir daños sobre los derechos y libertades de las personas físicas cuyos datos se están tratando, independientemente de otros perjuicios que pueda producir al responsable o encargado del tratamiento.
- Ocurra en tratamientos llevados a cabo por una persona física en el ámbito exclusivamente personal o doméstico.
Por lo tanto, no todos los incidentes de seguridad son necesariamente brechas de datos personales y no solo los Ciberincidentes pueden ser brechas de datos personales. A su vez, no toda acción que suponga una vulneración de la normativa de protección de datos puede ser considerada una brecha de datos personales.
3. Algunos ejemplos de brechas de seguridad
Ataques o ciberataques:
- A través de un código malicioso cifra los datos personales y, posteriormente, el atacante pide un rescate a cambio del código de descifrado.
- Que aprovechan las vulnerabilidades de los sistemas o servicios ofrecidos a terceros a través de internet, con el objetivo de objetivo copiar, exfiltrar y usar indebidamente los datos personales, incluidas credenciales de acceso.
- Robo de documentación o dispositivos con información personal.
Factor humano intencionado:
- Exfiltración de datos de clientes por parte de un/ empleado/a.
- Modificación no autorizada de datos por parte de un/ empleado/a.
Factor humano no intencionado:
- Pérdida de documentación o dispositivos con información personal
- Desechar documentos o soportes con información personal sin destruirla previamente.
- Comunicación accidental de datos a un tercero:
- En envíos a múltiples destinatarios, no utilizar el campo copia oculta.
- Envío postal a destinatarios distintos al que se pretendía.
- Enviar un adjunto con datos personales por error a destinatarios distintos al que se pretendía.
- Compartir documentos con información personal por error en un grupo de WhatsApp.
4. Cómo proceder cuando se produce una brecha de seguridad de datos personales
En primer lugar, informar al consultor de privacidad, o al DPO si lo tiene designado, para que analice el incidente y determine si realmente es una brecha de seguridad y si supone un riesgo o no para los interesados afectados por la misma (clientes, pacientes, alumnos, proveedores, personal, contactos, etc.) y, conforme al protocolo de actuación establecido y divulgado en la organización:
- Si no supone un riesgo:
- Documentar la brecha a través de su inclusión en el registro de violaciones de seguridad.
- Si supone un riesgo, además de lo anterior:
- Adoptar medidas de seguridad que mitiguen sus consecuencias.
- Notificar la brecha a la Autoridad de Control lo antes posible y a más tardar 72 horas después de que haya tenido constancia de ella.
- Si el riesgo es alto, además de todo lo anterior:
- Comunicar la brecha a los interesados afectados.
Si se tiene designado un DPO, este actuará como punto de contacto con la Autoridad de Control en el proceso de notificación de la brecha de seguridad que afecte a datos personales, así como de las respuestas a los requerimientos realizados por dicha Autoridad, siempre de acuerdo con el proceso de gestión de brechas implantado en la organización.
5. Reclamaciones y sanciones
Se debe tener en cuenta que una brecha de seguridad podría suponer, además, una reclamación por parte de alguna persona afectada ante la Autoridad de control si la brecha supone una vulneración de sus derechos y libertades, por esto es importantísimo proceder como hemos indicado en el apartado anterior para evitar sanciones, que, en función de las circunstancias de cada caso individual, pueden llegar a ser muy elevadas.
La Autoridad de Control puede sancionar al responsable del tratamiento por:
- No documentar cualquier violación de seguridad en los términos exigidos en el RGPD.
- No notificar, notificar fuera de plazo, o notificar de manera incompleta una violación de seguridad a la Autoridad de control, cuando suponga un riesgo para los interesados.
- No comunicar una violación de seguridad al interesado, cuando entrañe un alto riesgo para sus derechos y libertades.
Y también puede sancionar al encargado del tratamiento por:
- Incumplir el deber de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
Si se ha actuado diligentemente, conforme a lo establecido en la normativa de protección de datos para estos casos y hemos desarrollado a lo largo de este documento, tanto la brecha de seguridad como la posible reclamación por parte de los interesados afectados supondrá el archivo de actuaciones por parte de la AEPD y no el inicio de procedimientos sancionadores.