¿Qué es una brecha de seguridad?
Una brecha de seguridad consiste en una vulneración de la seguridad de los datos personales de una persona física, identificada o identificable, porque un tercero no autorizado accede a estos datos.
La REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante, RGPD) le da una definición más amplia entendiéndola como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”
Las brechas de seguridad pueden suceder de forma voluntaria o accidental, bien porque un tercero ha decidido acceder a estos datos, aún sabiendo que no está autorizado a ello, un ejemplo sería el acceso de un hacker a la base de datos de un centro médico y que proceda a descargar documentación, o bien, proceder a su destrucción.
Por otro lado, nos encontramos con un incidente más común como es la brecha de seguridad accidental, un buen ejemplo de este suceso sería el envío de correos electrónicos que contengan datos personales, como el expediente de un paciente, a un tercero por error.
Aunque los ejemplos utilizados hagan creer que nos encontramos ante una brecha de seguridad únicamente cuando se ven afectados datos sensibles, esto no es correcto, puesto que nos encontramos ante una brecha de seguridad por el envío de una factura donde aparezcan el nombre, apellido y número de contacto de una persona a un tercero.
¿Qué no será considerado una brecha de seguridad?
Debemos tener en cuenta que el acceso de terceros a datos personales no se considera siempre una brecha de seguridad, por ello, la Agencia Española de Protección de datos (en adelante, AEPD) en la guía “Guía para la notificación de brechas de datos personales”, especifica que no nos encontramos ante una brecha de seguridad cuando:
- No se vean afectados datos personales.
- Cuando los datos a los que ha accedido un tercero no son tratados por un responsable o encargado.
- Los datos tratados en el ámbito doméstico.
Un ejemplo que nos ayude a entender mejor cuando no estamos ante una brecha de seguridad, será cuando una persona física envía una foto que se han sacado en un cumpleaños con su familia a una cuenta de correo distinta de la persona a la que quería inicialmente enviarla.
¿Cómo debemos actuar ante una brecha de seguridad?
Ahora que ya podemos identificar de forma correcta una brecha de seguridad, debemos saber como actuar ante una.
El responsable del tratamiento de los datos será el encargado de comunicar que se ha producido una brecha de seguridad, y para ello, debe haber contado previamente con un procedimiento de brecha de seguridad que le suponga actuar de forma rápida, ello con la principal finalidad de minimizar los daños que se puedan producir. A nuestros clientes les informamos de la necesidad de comunicar cualquier brecha de seguridad para la posterior realización de una valoración de esta. Aquellos responsables del tratamiento de datos que no cuenten con una empresa de protección de datos tendrán que contar con un plan de actuación para estos casos.
El responsable de seguridad una vez conozca que se ha producido una brecha de seguridad, ya sea por él o por los encargados de tratamiento, tendrá que registrar esa brecha aunque posteriormente no deba comunicarse a la AEPD, esto encuentra su justificación en el artículo 33.5 de la RGPD establece que “El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo”.
Ahora bien, una vez que se ha registrado la brecha debemos saber si esta debe comunicarse a la Agencia o no.
¿Cuándo debemos comunicar la brecha de seguridad a la Agencia Española de Protección de Datos?
La respuesta a esta pregunta la encontramos en el artículo 33 del RGPD. Tal vez lo más importante al conocer que se ha producido una brecha de comunicación, aparte de intentar minimizar los daños, son los plazos. El responsable del tratamiento tendrá un plazo de 72 horas para comunicar a la Agencia que se ha producido una brecha de seguridad, si bien, nos encontramos con un matiz como es que esta brecha no constituya un riesgo para los derechos y libertades de la persona física.
La notificación de la brecha debe hacerse respetando el procedimiento que se ha establecido para ello, informando a la AEPD de los siguientes aspectos:
- Comunicar la naturaleza de la incidencia y número de afectados, esto último de ser posible.
- Datos del Delegado de Protección de Datos, de no contar con uno asignado, aportar los datos de responsable de seguridad o persona que pueda aportar la información necesaria.
- Consecuencias de la brecha de seguridad para los derechos y libertades de la persona física.
- Aportar una descripción de las medidas que se han tomado para poner fin a la brecha de seguridad, así como las medidas que se tomarán para que no vuelvan a suceder.
¿Cuándo notificar a los afectados?
Primero debemos conocer a quienes se les considera como afectados, y no es otro, que aquella persona física que ve vulnerado sus datos personales, bien porque sus datos han sido destruidos, perdido o alterados.
Una vez que podemos identificar a los afectados, debe conocerse cuando se tendrá que comunicar que se ha producido una brecha de seguridad de sus datos. El RGPD determina que se tendrá que realizar cuando se vean afectados los derechos y libertades del interesado.
Esta comunicación tendrá que realizarse de forma que el interesado pueda comprender que se ha producido una violación de seguridad, siendo incluso necesario en muchas ocasiones explicar que es una brecha de seguridad. También se le comunicará en que puede afectarle, además de las medidas que se han tomado para evitar que vuelva a suceder y los datos del Delegado de Protección de datos o persona de contacto, por si fuera su intención ponerse en contacto con ellos, esto utilizando un lenguaje que permita a la persona afectada entender de forma clara que ha sucedido.
No obstante, también determina el propio reglamento, en su artículo 34, cuando no será necesario comunicarse:
- Cuando el responsable de tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas.
- Cuando el responsable del tratamiento ha optado por unas medidas que garantizan que no se volverá a producir la brecha de seguridad.
- Cuando suponga un esfuerzo desproporcionado para el responsable de seguridad, un ejemplo, que deba comunicarse a un gran número de interesados.
Régimen sancionador
La RGPD establece las sanciones y multas que se podrán imponer por la vulneración de la normativa de protección de datos. Entre las que más destacan son las recogidas en el artículo 83 que establece “una multa de 10.000.000 euros o hasta el 2% del volumen de negocio total global anual del ejercicio financiero anterior”, por la vulneración del artículo 33 del RGPD, que recoge la notificación a la Autoridad de Control cuando se produzca una brecha de seguridad.
Donde prestamos nuestro servicio de Brecha de Seguridad
Prestamos nuestro servicio de implantación de Brecha de Seguridad en Tenerife, La Gomera, La Palma, El Hierro, Las Palmas de Gran Canaria, Lanzarote y Fuerteventura (Islas Canarias), A Coruña (Santiago de Compostela), Ourense, Lugo y Pontevedra (Vigo) (Galicia), Madrid y Barcelona, así como en toda España peninsular e insular, Ceuta y Melilla.