Introducción

En la era digital, la seguridad de los datos personales es un aspecto crítico para cualquier organización. El Reglamento General de Protección de Datos (RGPD) establece directrices claras sobre cómo deben gestionarse las brechas de datos personales, desde su detección hasta su notificación a las autoridades y afectados. Pero ¿qué es una brecha de datos? ¿Qué medidas deben adoptarse para prevenir y gestionar estos incidentes? ¿Cuáles son las figuras implicadas? ¡Sigue leyendo! A continuación, te contamos todas las claves.

¿Qué es una brecha de seguridad?

• No afecten a datos personales, es decir, a datos que no sean de personas físicas identificadas o identificables;
• No afecten a tratamientos de datos personales llevados a cabo por un responsable o un encargado;
• Ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.

Proceso de gestión de incidentes

Una de las primeras tareas que hay que realizar es establecer el nivel de riesgo y establecer medidas para minimizar ese riesgo. En el RGPD se contempla tanto medidas preventivas para evitar o disminuir el riesgo como correctivas para reaccionar ante la materialización del riesgo.

• La seudonimización y el cifrado de datos personales;
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento;
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

La gestión de incidentes debe formar parte de la cultura organizativa y alinearse con el artículo 33“Notificación de una violación de la seguridad de los datos personales a la autoridad de control”, que contiene todo lo relacionado con la notificación de las brechas de seguridad, y el artículo 34 “Comunicación de una violación de la seguridad de los datos personales al interesado”,en el que se recoge que el responsable del tratamiento comunicará al interesado la naturaleza de la violación de la seguridad de los datos personales.

• Detectar y clasificar incidentes tanto con recursos propios o de terceros.
• Notificar sin demora a la Autoridad de Control y a los afectados cuando sea necesario.
• Documentar el proceso en un registro de incidentes, incluyendo decisiones sobre notificación y comunicación.

• • Responsable de tratamiento
    
    • Implantación del proceso de gestión de brechas;
    • Evaluación de las consecuencias para los derechos y libertades de las personas;
    • Notificar la brecha de datos personales a la Autoridad de Control;
    • Comunicar la brecha de datos personales a las personas afectadas.
  • Encargado de tratamiento
    • Informar al responsable de las brechas de datos personales que afecten a los tratamientos encargados;
    • Ayudar al responsable en la gestión de la brecha de datos personales;
    • Ejecutar las labores de notificación o comunicación de la brecha que tenga asignadas por contrato.
      
      
  • Delegado de Protección de Datos (DPD)
    • Informar y asesorar al responsable/encargado del tratamiento sobre sus obligaciones y responsabilidades con relación a las brechas de datos personales;
    • Cooperar con la Autoridad de Control en las cuestiones relativas a la gestión de la brecha de datos personales;
    • Actuar como punto de contacto con la Autoridad de Control, en particular, en el proceso de notificación de la brecha de datos personales.

Notificación a la autoridad de control 

Cuando la brecha constituya un riesgo para los derechos y libertades de las personas, el responsable del tratamiento debe efectuar la correspondiente notificación a la Autoridad de Control a más tardar en 72 horas desde que se tenga constancia de la brecha de datos personales.

El encargado de tratamiento debe notificar al responsable de tratamiento sin tardanza indebida de las brechas de datos personales de las que tenga constancia. Aunque en este caso, el RGPD no establece un plazo de tiempo concreto, puesto que habla del término sin dilación indebida, se aconseja incluir un plazo de tiempo en el contrato de acceso a datos.

En el supuesto de que se haya notificado una brecha de datos personales a la Autoridad de control competente, antes de un plazo máximo de 30 días desde la notificación inicial, el responsable de tratamiento deberá completar toda la información mediante una modificación posterior incluida la decisión tomada sobre la comunicación de la brecha de datos personales a los afectados.

Notificación a los afectados

Los interesados afectados son las personas físicas cuyos datos personales se han visto afectados por una brecha comprometiendo la confidencialidad, integridad y/o disponibilidad de esos datos.

1. Cuando comunicar, plazos para comunicar, cómo y qué se debe comunicar

Una vez que el responsable de tratamiento tenga constancia de la brecha de datos personales deberá valorar el riesgo para las personas afectas y determinar la necesidad de comunicar la brecha a los afectados.

El RGPD no establece un plazo concreto para la comunicación a los afectados, pero sí indica que deberá realizarse sin dilación indebida. Sin embargo, en el caso de que la comunicación a las personas afectadas se produzca como consecuencia de una orden emitida por la AEPD, deberá materializarse la comunicación a los afectados sin dilación indebida y comunicar la confirmación de haber ejecutado la orden dentro del plazo de 30 días.

• Datos de contacto del DPD, o en su caso, del punto de contacto en el que pueda obtenerse más información;
• Descripción general del incidente y momento en que se ha producido;
• Las posibles consecuencias de la brecha de datos personales;
• Descripción de los datos e información personal afectados;
• Resumen de las medidas implantadas hasta el momento para controlar los posibles daños;
• Otras informaciones útiles a los afectados para que puedan proteger sus datos o prevenir posibles daños.

Sanciones

Cuando un responsable o encargado de tratamiento notifique una brecha de datos personales a la Autoridad de Control, no implica la imposición de una sanción. Sin embargo, no cumplir con las obligaciones de notificación y comunicación a los interesados y a la Autoridad de Control sí está tipificado como infracción.  

• Artículo 32 “Seguridad del tratamiento”: falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
• Artículo 33 “Notificación a la Autoridad de control": incumplimiento del deber de notificación según el contenido del artículo 33 del reglamento.
• Artículo 34 “Comunicación al interesado": incumplimiento del deber de comunicación al interesado cuando sea necesaria la notificación de la brecha de seguridad en la que se han visto afectados sus datos personales.

Asimismo, el incumplimiento de las resoluciones de la Autoridad de Control en virtud del artículo 58 “Poderes” del RGPD, donde se recogen los poderes de investigación, correctivos y de autorización y conflictivos que dispone la AEPD, como  lo es una orden para comunicar una brecha de datos personales a los interesados, puede comportar sanciones de hasta 20.000.000 € o hasta el 4% del volumen de negocio total global anual del ejercicio financiero anterior.

Conclusión

La gestión de brechas de datos personales no solo es una obligación legal bajo el RGPD, sino una práctica esencial para proteger la confianza de los usuarios y la reputación de las organizaciones. Implementar medidas de seguridad adecuadas, contar con procedimientos efectivos de notificación y comunicación, y fomentar una cultura de protección de datos dentro de la empresa son aspectos fundamentales para minimizar riesgos.

En Grupo CFI ofrecemos un servicio integral de implantación del RGPD, con soluciones a medida que aseguran tu cumplimiento y se adaptan a las necesidades específicas de cada sector.