Nueva herramienta de la AEPD sobre notificación de brechas de seguridad “Asesora Brecha”

España
Nueva herramienta para ayudar a los responsables a decidir si deben notificar una brecha de datos personales
Nueva herramienta de la AEPD sobre notificación de brechas de seguridad “Asesora Brecha”
15 de noviembre de 2022

En caso de violación de seguridad de los datos personales, cuando sea probable que la incidencia pueda suponer un riesgo para los derechos y libertades de las personas físicas, el Reglamento General de Protección de Datos (“RGPD”) impone a los responsables del tratamiento la obligación de notificar la brecha, por un lado, a la autoridad de control competente y, cuando ese riesgo sea alto, a los interesados afectados.

Así, desde la entrada en vigor del RGPD, distintas autoridades han venido publicando guías y herramientas relacionadas con esta obligación de notificación, sobre las que hemos hablado en ocasiones anteriores en este blog. Entre las más recientes encontramos las Directrices sobre ejemplos relativos a la notificación de brechas de seguridad, publicadas por el Comité Europeo de Protección de Datos, o la (primera) herramienta “Comunica-Brecha RGPD” que la Agencia Española de Protección de Datos (“AEPD”) puso a disposición de responsables del tratamiento con el objetivo de facilitar la toma de decisiones relativas a la realización de las comunicaciones a los sujetos afectados.

En este contexto, y esta vez en relación con la obligación de notificar a la autoridad de control, la AEPD acaba de publicar la herramienta “Asesora Brecha” con la intención de ayudar a los responsables del tratamiento a valorar si deben notificar a la AEPD de la brecha de seguridad acaecida.

La necesidad de la publicación de la herramienta surge, entre otras cuestiones y según señala la AEPD, del alto volumen de notificaciones que recibe al año (alrededor de 1.500). Esta magnitud demuestra que la adecuada gestión de este tipo de incidencias es una cuestión clave para responsables y encargados del tratamiento, así como para los delegados de protección de datos de las distintas compañías.

La herramienta ha sido desarrollada de modo que resulte intuitiva para el usuario, quien deberá responder a distintas cuestiones vinculadas y relacionadas con la violación de seguridad. Entre otras cuestiones, se debe indicar si la brecha ha afectado a la confidencialidad, integridad y/o disponibilidad de datos personales y, en función de la respuesta otorgada a la pregunta anterior, se despliegan preguntas adicionales sobre el incidente como, por ejemplo, si ha sucedido por un fallo técnico, por la ausencia de políticas o por la deficiencia de las medidas de seguridad implementadas. Seguidamente, la herramienta pregunta si la entidad es responsable o encargada del tratamiento, si está vinculada al sector público de Andalucía, Cataluña o País Vasco y, por último, si tiene establecimientos fuera de España, así como si hay implicaciones trasfronterizas de la brecha. Por último, se pregunta si se considera que la brecha puede suponer un riesgo para los derechos y libertades de las personas afectadas.

En función de las respuestas dadas en el formulario, la herramienta aconsejará o no la notificación sin dilación indebida a la autoridad de control.

En cualquier caso, la AEPD subraya que “Asesora Brecha” es “una ayuda a la toma de decisiones (…), y en ningún caso su utilización representa el pronunciamiento de esta Agencia sobre la aplicación del art. 33 del RGPD para una brecha de datos personales concreta”. Por tanto, es el responsable del tratamiento quien debe valorar en última instancia el nivel de riesgos de la brecha para, en su caso, notificarla a la autoridad de control.

Esta herramienta queda incorporada al “Decálogo de recursos de ayuda de la AEPD, en el que se recogen las principales guías y recursos tecnológicos para responsables y encargados del tratamiento, interesados y desarrolladores, facilitados por la autoridad de supervisión española.

15 de noviembre de 2022