¿Debo comunicar una brecha de seguridad de los datos personales a los interesados? Nueva herramienta “Comunica-Brecha RGPD”

2020-10-30T10:50:00
España

Junto a la obligación de notificar una violación de seguridad de los datos personales a las autoridades de control, el Reglamento General de Protección de Datos impone a cada responsable del tratamiento el deber de comunicarla al interesado, sin dilación indebida, cuando sea probable que la violación de la seguridad de los datos personales entrañe

30 de octubre de 2020

Junto a la obligación de notificar una violación de seguridad de los datos personales a las autoridades de control, el Reglamento General de Protección de Datos impone a cada responsable del tratamiento el deber de comunicarla al interesado, sin dilación indebida, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades.

A este respecto, la Agencia Española de Protección de Datos (“AEPD”) ha puesto a disposición la herramienta “Comunica-Brecha RGPD, con el objetivo de facilitar a los responsables de tratamiento la toma de decisiones relativas a la realización de dichas comunicaciones a los sujetos afectados por el tratamiento.

Su utilización resulta bastante intuitiva, de forma que el responsable de tratamiento navegará por diferentes pantallas en las que responderá cuestiones relacionadas con el eventual incidente de seguridad que haya tenido lugar. En particular:

  • El punto de partida es el sector de actividad del responsable del tratamiento.
  • Seguidamente la AEPD se interesa por la brecha, el tipo de incidente, su origen, y si este tiene origen en un “ciberincidente”.
  • A continuación, la herramienta trata de estimar las consecuencias de la brecha de seguridad. Entre otros aspectos, incide en si terceros han podido acceder a los datos, si estos se han destruido, perdido o alterado, el grado en el que podría afectar a los interesados, si los datos están cifrados y si se ha recuperado su disponibilidad.
  • También atiende a la tipología de datos y sujetos afectados, clasificándolos en función del número y por categorías (e.g. menores, colectivos vulnerables), y al momento temporal en el que se produce la brecha y al momento en que el responsable la detectó.

Tras este proceso, la herramienta puede ofrecer tres resultados distintos al responsable: (i) la necesidad de comunicar la brecha de seguridad a los afectados; (ii) que no es necesaria dicha comunicación; o (iii) que no es posible determinar el nivel de riesgo.

En cualquier caso, la AEPD destaca que la herramienta busca “promover la transparencia y responsabilidad proactiva entre los responsables” e insiste en que esta no sustituye la valoración del nivel de riesgo por parte del responsable ya que es quien conoce de primera mano la información relativa al tratamiento, las características de los sujetos afectados, las circunstancias que dieron lugar a la brecha de seguridad y todos los factores relacionados con el tratamiento concreto.

Esta herramienta se incorpora al “Decálogo de recursos de ayuda de la AEPDque la AEPD pone a disposición del público, en el que se recogen las principales guías y recursos tecnológicos para responsables y encargados del tratamiento, interesados y desarrolladores.

Autores: Alejandro Negro y Raúl Pérez

30 de octubre de 2020