Violaciones de Seguridad en Protección de Datos

LAS VIOLACIONES DE SEGURIDAD EN PROTECCIÓN DE DATOS Y LA OBLIGACIÓN DE NOTIFICACIÓN DE LAS BRECHAS DE SEGURIDAD

El artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016; relativo a la Protección de las personas físicas por lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”), en su apartado 12, establece que una violación de la seguridad de los datos personales es:

“toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Las violaciones de seguridad pueden suponer la pérdida del control sobre los datos personales o restricción de sus derechos, discriminación, usurpación de la entidad, daños de reputación, etc. Es decir, pueden comportar daños y perjuicios físicos, materiales o inmateriales hacia las personas físicas.

Es por ello que es sumamente importante que se tomen las medidas de seguridad adecuadas a tiempo.

¿Qué pasos se deben seguir ante una violación de seguridad de la información de datos personales?

El considerando 85 del RGPD establece que el Responsable del Tratamiento debe tener conocimiento de la producción de la violación de seguridad de los datos personales sin dilación indebida, esto es, debe estar al caso del acontecimiento en el plazo más breve posible.

En consecuencia, en primer lugar, corresponde distinguir un mero incidente de seguridad en términos genéricos, de una brecha de seguridad en referencia a la afectación de datos personales. Así pues, el Responsable del Tratamiento también debe concretar situaciones consideradas incidentes de seguridad; así como las herramientas, mecanismos de detección o sistemas de alerta para detectar el incidente, y el análisis de la información que proporcionan dichas herramientas o sistemas.

En esta primera fase se debe proceder a la identificación y análisis de la correspondiente violación de seguridad; para que, de este modo, se identifique la brecha y su origen.

Así pues, una vez identificada la violación, se debe determinar si efectivamente se está ante una brecha de seguridad, es decir, evaluar el nivel de perjuicio que se haya podido ocasionar debido al incidente en relación a los derechos y libertades de las personas físicas afectadas. Es así mismo imprescindible determinar el tipo de brecha al que nos enfrentando, así como la categoría y número de afectados y tipología de datos.

Las brechas se pueden clasificar en:

• Brecha de confidencialidad.

  • Tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella. La severidad de la pérdida de confidencialidad varía según el alcance de la divulgación; es decir, el número potencial y el tipo de partes que pueden haber accedido ilegalmente a la información.

• Brecha de integridad.

  • Se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo. La situación más grave ocurre cuando existen serias posibilidades de que los datos alterados se hayan utilizado de una manera que pueda dañar al individuo.

• Brecha de disponibilidad.

  • Su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo); o permanente (los datos no pueden recuperarse).

Tal y como indica el ya mencionado considerando 85 del RGPD, el Responsable del Tratamiento, tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente (la Agencia Española de Protección de Datos u otra correspondiente). Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de los motivos de la dilación; pudiendo facilitarse información por fases sin más dilación indebida.

No obstante, existe una excepción a la obligación de comunicar la brecha de seguridad a la autoridad de control. Esto es, si el responsable del tratamiento puede demostrar que la violación de seguridad no entraña un riesgo para los derechos y libertades de las personas físicas, no será necesaria su notificación a la autoridad de control.

Procedimiento a seguir frente a una violación de seguridad de la información

En definitiva, el procedimiento a seguir frente a una violación de seguridad de la información, en concreto, frente a una brecha de seguridad de datos personales; consistiría en los siguientes pasos:

1. Identificación de la violación de seguridad.
2. Evaluación del riesgo.
3. Evaluación del impacto de la violación de seguridad (daños y perjuicios).
4. Comunicación a la autoridad de control competente.
   • Excepción: no comunicación si no entraña un riesgo para derechos y libertades de personas físicas.

En este sentido, Tarinas cuenta con un equipo multidisciplinario y especializado en protección de datos; con capacidad de asesoramiento a profesionales de cualquier ámbito o personas físicas afectadas sobre el correspondiente procedimiento a seguir frente a violaciones de seguridad.

Para más información no duden en ponerse en contacto con nosotros para asesorar su entidad.