En la era digital actual, la cantidad de datos personales que se recaban, almacenan y tratan por parte de las organizaciones ha alcanzado niveles sin precedentes, por lo que cada vez están más expuestas a sufrir incidentes que afecten a los mismos. El responsable y/o encargado del tratamiento de estos datos deben llevar a cabo una gestión adecuada de estos incidentes cuando tienen lugar, porque el RGPD determina que en estos casos se deben acometer una serie de actuaciones específicas (registro, mitigar sus consecuencias, notificación a la AEPD, informar a los interesados, etc.), y para ello es esencial disponer de un protocolo de actuación para gestionarlos adecuadamente.
1. Qué es una violación o brecha de la seguridad de datos personales
Es cualquier violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; y que podría producir daños sobre los derechos y libertades de las personas físicas cuyos datos personales se están tratando.
2. Qué no se considera una brecha de datos personales
Cualquier incidente de seguridad que:
Por lo tanto, no todos los incidentes de seguridad son necesariamente brechas de datos personales y no solo los Ciberincidentes pueden ser brechas de datos personales. A su vez, no toda acción que suponga una vulneración de la normativa de protección de datos puede ser considerada una brecha de datos personales.
3. Algunos ejemplos de brechas de seguridad
Ataques o ciberataques:
Factor humano intencionado:
Factor humano no intencionado:
4. Cómo proceder cuando se produce una brecha de seguridad de datos personales
En primer lugar, informar al consultor de privacidad, o al DPO si lo tiene designado, para que analice el incidente y determine si realmente es una brecha de seguridad y si supone un riesgo o no para los interesados afectados por la misma (clientes, pacientes, alumnos, proveedores, personal, contactos, etc.) y, conforme al protocolo de actuación establecido y divulgado en la organización:
Si se tiene designado un DPO, este actuará como punto de contacto con la Autoridad de Control en el proceso de notificación de la brecha de seguridad que afecte a datos personales, así como de las respuestas a los requerimientos realizados por dicha Autoridad, siempre de acuerdo con el proceso de gestión de brechas implantado en la organización.
5. Reclamaciones y sanciones
Se debe tener en cuenta que una brecha de seguridad podría suponer, además, una reclamación por parte de alguna persona afectada ante la Autoridad de control si la brecha supone una vulneración de sus derechos y libertades, por esto es importantísimo proceder como hemos indicado en el apartado anterior para evitar sanciones, que, en función de las circunstancias de cada caso individual, pueden llegar a ser muy elevadas.
La Autoridad de Control puede sancionar al responsable del tratamiento por:
Y también puede sancionar al encargado del tratamiento por:
Si se ha actuado diligentemente, conforme a lo establecido en la normativa de protección de datos para estos casos y hemos desarrollado a lo largo de este documento, tanto la brecha de seguridad como la posible reclamación por parte de los interesados afectados supondrá el archivo de actuaciones por parte de la AEPD y no el inicio de procedimientos sancionadores.