Una de las novedades más importantes a mi juicio que contiene el Reglamento Europeo de Protección de Datos radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados.
Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.
La obligación que con la LOPD solo afectaba a las empresas de telecomunicaciones y a los proveedores de acceso a Internet o ISP, con el Reglamento general europeo de protección de datos se va a ampliar a cualquier responsable del tratamiento, no ya solo las empresas del sector de las comunicaciones electrónicas.
Se debe informar tanto a la Agencia de Protección de datos como al afectado si esta brecha afecta negativamente a la protección de los datos personales o a la privacidad del interesado.
Notificación al afectado
Se debe notificar al afectado si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un cliente o particular.
En este caso deberá informar de las posibles consecuencias de la violación para el particular, especialmente, si puede conllevar fraude o usurpación de su identidad, daños físicos, sufrimiento psicológico humillación o perjuicio reputacional.
También se debe informar de las propias circunstancias en que se haya producido la violación de datos personales sobre las medidas tendentes a atenuar los posibles efectos.
La comunicación al afectado se realizará por vías de comunicación que garanticen una “pronta recepción de la información y sean seguras con arreglo al estado actual de la técnica”.
Cuando no será obligatoria la notificación a los afectados
- Cuando la intrusión y la violación de datos no pueda afectar negativamente a los datos personales o a la intimidad del particular.
- Cuando los datos extraídos estén debidamente cifrados y sean incomprensibles y, consecuentemente, la intrusión y la violación de datos no pueda afectar negativamente a los datos personales o a la intimidad del particular.
Notificación a la autoridad de control
La notificación a la autoridad de control (en el caso español la Agencia Española de Protección de Datos) será obligatoria respecto a determinadas categorías de datos, como los relativos a infracciones penales o cuentas bancarias.
La comunicación a la agencia española de una violación de datos personales debe estar documentado e incluir:
- Número de interesados afectados.
- Tipos y categorías de datos.
- Descripción Datos de contacto del delegado (DPO)
- Efectos y consecuencias de la brecha.
- Medidas tendentes a atenuar los posibles efectos y medidas adoptadas.
¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?
Si la brecha se produce por parte del encargado del tratamiento, este deberá alertar e informar al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.
Retos que plantea a las empresas la comunicación de brechas
La obligada comunicación de brechas en caso de producirse obliga a las empresas a incorporar procedimientos que permitan:
- Documentar adecuadamente este tipo de incidencias.
- Definir un plan de comunicación de brechas, tanto para los afectados como para la autoridad de control, definiendo competencias, tiempos de ejecución y modelo de comunicación para cada caso.
- Contar con un plan de contingencias que permita subsanarlas en el menor tiempo posible, minimizar el impacto y reforzar la seguridad interna.
Otro reto radica en la implantación de medidas de seguridad adecuadas, incluidos los sistemas de detección y análisis de intrusiones necesarios que permiten proteger los datos de los particulares y la información privada de la empresa, establecer mecanismos de prevención de ataques informáticos y fundamentalmente, evitar estas brechas de seguridad que requieran notificación a la agencia y los afectados.
Ante las obligaciones legales de notificar y denunciar (con el consiguiente daño reputacional y de credibilidad), una adecuada implementación de medidas de seguridad acompañada de procesos de concienciación y formación a empleados, análisis y control continuo, constituyen sin duda la mejor defensa.
La entrada Cómo gestionar las brechas de seguridad según el nuevo reglamento de protección de datos aparece primero en Security Art Work.