Una duda que nos plantean muy a menudo es cuando se considera que hay una brecha de Seguridad y cuando ésta debe ser comunicada. Parece ser que no siempre está del todo claro como proceder, por lo que abordamos esta cuestión a continuación.
Identificar una brecha de seguridad
Una brecha de seguridad según la Agencia Española de Protección de Datos, es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel.
Las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Comunicar la brecha de seguridad a la Autoridad de Control
Una vez se tenga constancia de que ha tenido lugar una brecha de seguridad y una vez analizada, se determine que dicha violación entraña un riesgo para los derechos y libertades de las personas físicas, esta deberá ser comunicada a la autoridad de control competente.
El plazo de comunicación de las brechas de seguridad a la autoridad de control es de 72 horas una vez se ha tenido constancia de ella. Si se comunica pasado dicho plazo, se deberá motivar.
La notificación a la autoridad de control debe contener como mínimo:
- naturaleza de la violación de seguridad y datos afectados, así como interesados afectados y volumen.
- nombre y datos de contacto del Delegado de Protección de Datos o persona responsable.
- describir posibles consecuencias de la violación.
- describir medidas adoptadas o previstas para resolver la violación.
No se deberá comunicar la violación a la autoridad competente si es improbable que constituya un riesgo para los derechos y libertades de las personas físicas.
Comunicar la brecha de seguridad a los interesados
En el mismo sentido, cuando la brecha de seguridad suponga un alto riesgo para los derechos y libertades de las personas físicas, esta se deberá comunicar también al interesado afectado por dicha violación.
Esta comunicación deberá realizarse en un lenguaje sencillo y claro explicando la naturaleza de la violación.
El objetivo será que las personas afectadas puedan tomar las medidas que estén en sus manos para mitigar los daños de la violación.
Otras obligaciones
Para un correcto control y gestión de las brechas de seguridad, será necesario que el responsable de tratamiento documente y registre las violaciones de seguridad que tengan lugar. Este registro debe incluir las circunstancias de la brecha, sus efectos, las medidas adoptadas, etc.