Fugas de información (fuga de datos) o violaciones de seguridad de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
La violación de la seguridad de los datos personales (más comúnmente conocida como «quiebra de seguridad»), definida en el artículo 4, apartado 12, del RGPD, también se desarrolla en los artículos 33 y 34 del RGPD, donde se regula su notificación a la autoridad competente y al interesado, respectivamente.
La adopción de medidas de seguridad es trascendental para una aplicación correcta de la normativa en protección de datos. Estas medidas deben estar muy bien definidas e implantadas con carácter previo a la práctica del tratamiento. No obstante, puede darse el caso de que alguna de esas medidas no sea suficiente o no sea efectiva, o simplemente no haya funcionado, significando una posible lesión sobre los derechos y libertades del interesado. Ello puede venir por una fuga de información, una brecha en la seguridad o, en definitiva, una violación del sistema de medidas de control que había sido diseñado.
El considerando (85) del RGPD hace una importante reflexión al respecto ya que establece:
«Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión».
Concepto de violación de la seguridad de los datos personales
Como define el artículo 4, apartado 12, del RGPD, la «violación de la seguridad de los datos personales» es toda violación de la seguridad que ocasione la «destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
Notificación de la existencia de una violación de la seguridad de los datos personales
El camino a seguir por el responsable ante una quiebra de la seguridad es comunicar dicha violación, por un lado, a la autoridad de control competente (AEPD en el caso español) y, por el otro, al interesado, en determinadas circunstancias tasadas en la normativa.
Con carácter previo a las especialidades de cada notificación, el considerando (87) del RGPD declara:
«Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento».
a) Notificación a la AEPD
El artículo 33 del RGPD regula la notificación de una violación de seguridad de los datos personales a la autoridad de control y, transcribiendo el contenido de este precepto, debe destacarse respecto a la notificación lo siguiente:
- Debe realizar la notificación el responsable del tratamiento.
- La violación de seguridad debe revestir carácter grave.
- La notificación se realizará sin dilación indebida, en el plazo máximo de setenta y dos horas,transcurrido ese tiempo se deberá acompañar a la notificación la justificación de los motivos de la dilación.
- El encargado debe notificar las violaciones sobre las que tenga conocimiento al responsable del tratamiento [el encargado debe ayudar al responsable en el cumplimiento de sus obligaciones, entre las que se encuentra la de notificación —art. 28, apartado 3, letra f), del RGPD—].
A TENER EN CUENTA. Entre las funciones del Comité está emitir directrices, recomendaciones y buenas prácticas a fin de constatar las violaciones de seguridad e datos y determinar la dilación indebida [art. 70.1 g) del RGPD].
Respecto a la notificación, esta debe incluir:
- Una descripción de la naturaleza de la violación de la seguridad (si fuera posible: categorías, n.º de afectados, categorías, n.º aprox. de registros de datos personales afectados, etc.).
- El contacto o datos del DPD o persona de contacto que ofrezca información.
- Las consecuencias de la violación de seguridad.
- La descripción de las medidas adoptadas o propuestas por el responsable para remediar la violación de la seguridad y de las medidas para paliar los posibles efectos negativos.
- Cualquier documentación que acredite la violación o relacionada con ella, así como de las medidas adoptadas, etc.
Esta información deberá exponerse utilizando un lenguaje claro y sencillo y podrá facilitarse de manera gradual.
b) Notificación al interesado
Partiendo del artículo 12 del RGPD que ordena que el responsable del tratamiento debe tomar las medidas oportunas para facilitar al interesado toda información sobre los datos personales, siempre de forma concisa, transparente, inteligible y de fácil acceso, se redacta el artículo 34 del RGPD, que viene a disponer sobre la notificación al interesado cuando sea probable la violación de la seguridad de datos personales lo siguiente:
- La violación de la seguridad debe suponer un alto riesgo para los derechos y libertades de las personas físicas.
- La violación de la seguridad será comunicada por el responsable del tratamiento.
- La notificación se realizará sin dilación indebida.
- En la notificación debe hacerse relación a:
- La descripción de la violación de la seguridad con lenguaje claro y sencillo.
- Al contacto o nombre del DPD u otro contacto que le de información.
- La descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- La descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad o medidas para mitigar posibles efectos negativos.
- La autoridad de control puede exigir al responsable que comunique al interesado la violación de datos personales si considera que entrañan un alto riesgo, o también podrá valorar si concurren circunstancias que eximan de su notificación.
A TENER EN CUENTA. El Comité debe emitir directrices, recomendaciones y buenas prácticas con respecto a las circunstancias en que esa probable violación de la seguridad de datos que entrañe un alto riesgo para los derechos y libertades de las personas físicas.
No obstante, existen excepciones a esta notificación y, como bien recoge el artículo 34, en su apartado 3, del RGPD, no será necesaria la comunicación al interesado cuando el responsable:
- Haya adoptado las medidas de protección técnicas y organizativas apropiadas y se hayan aplicado a los datos personales afectados por la violación de la seguridad de los datos personales (especialmente las que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos —cifrado—).
- Haya tomado medidas ulteriores que garanticen que ya no existe probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.
Si la notificación supone un esfuerzo desproporcionado se optará por la comunicación pública o semejante que informe de manera efectiva a los interesados.
CUESTIÓN
¿Qué ocurre si se incumple el deber de notificación, tanto del artículo 33 como 34 del RGPD?
La LOPDGDD establece en su artículo 73, r) y s), encuadrado dentro del régimen sancionador, que el incumplimiento de estos deberes constituye una infracción grave, con aplicación de la sanción correspondiente conforme al artículo 76 de la LOPDGDD y 83 del RGPD.
¿Existe derecho a indemnización en caso de violación de la seguridad de los datos?Como sabemos, la violación de datos puede entrañar daños y perjuicios materiales e inmateriales para el interesado. Así, el artículo 82 del RGPD reconoce el derecho a indemnización al interesado, por parte del responsable o encargado del tratamiento, por los daños sufridos a causa de una infracción del RGPD.
Concretando, el artículo 83, apartado 4, del RGPD establece para el caso de incumplimiento del deber de notificación multas administrativas de 10.000.000 euros como máximo, con cuantía equivalente al 2 % del volumen del negocio total anual global del ejercicio financiero anterior si se tratara de una empresa.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Aspectos comunes del responsable y el encargado de tratamiento de datos
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad
- Violación de seguridad (quiebra de seguridad) ESTOY AQUÍ
- Transferencias internacionales, BCR y Códigos de conducta
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Supranacional Nº C-311/18, TJUE, 16-07-2020
Orden: Supranacional Fecha: 16/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-311/18
-
Sentencia Supranacional Nº C-507/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-507/17
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia SOCIAL Nº 468/2020, TSJ Madrid, Sala de lo Social, Sec. 2, Rec 221/2020, 09-06-2020
Orden: Social Fecha: 09/06/2020 Tribunal: Tsj Madrid Ponente: Moreiras Caballero, Miguel Num. Sentencia: 468/2020 Num. Recurso: 221/2020
-
Sentencia Supranacional TJUE, 17-05-2021
Orden: Supranacional Fecha: 17/05/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD
Orden: Administrativo Fecha última revisión: 31/05/2021
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...
-
Principio de confidencialidad en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 01/06/2021
El artículo 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. Ya en la LOPDGDD se establece el deber de confidencialidad de los datos en su artículo 5.El deber de con...
-
Gestión de riesgos y EIPD en un despacho de abogados o procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...
-
Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)
Orden: Administrativo Fecha última revisión: 20/07/2021
Artículo 47 de la LOPDGDD«Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular, ejercer las funciones establecidas en el artículo 57 y las potest...
-
Infracciones en materia de protección de datos (LOPDGDD y RGPD)
Orden: Administrativo Fecha última revisión: 22/07/2021
Las infracciones se recogen de manera sucinta en el artículo 83 del RGPD y, de un modo más específico, en los artículos 71 a 74 de la LOPDGDD.Conductas infractoras en materia de protección de datosComo recoge el artículo 71 de la LOPDGDD, const...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO ENTRE ENCARGADO DE TRATAMIENTO Y SUBENCARGADOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO]De una parte, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con...
-
Modelo de contestación al ejercicio del derecho de supresión. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 17/08/2021
[NOMBRE_EMPRESA]CIF/NIF [NUMERO][DIRECCION][TELEFONO][CORREO_ELECTRONICO]Delegado de Protección de datos: [ESPECIFIQUE AQUI, LOS DATOS DE CONTACTO DEL DELEGADO, INCLUYENDO, DIRECCION, TELEFONO, EMAIL, Y TODOS LOS DATOS QUE SEAN NECESARIOS PARA LA CO...
-
Caso práctico: ¿Cómo puedo ejercer el derecho al olvido?
Fecha última revisión: 26/01/2022
-
Caso práctico: Cuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internet
Fecha última revisión: 21/05/2014
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 05/10/2021
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 24/07/2013
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
PLANTEAMIENTOUn ciudadano desea que determinados datos dejen de aparecer en los buscadores de internet. ¿Cómo debe proceder?RESPUESTALa legislación española establece que para ejercer los derechos de cancelación y oposición y, por tanto, el «...
RESUMENCuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internetANÁLISISDicha sentencia publicada el 13 de mayo de 2014, resolvió reconocer este derecho “al olvido” apli...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que en muchas ocasiones los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para «conservar» un gráf...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa instalación de cámaras de vigilancia es muy habitual, como protección frente a posibles robos por ejemplo.Para la instalación de c...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018
-
Resolución de 26 de junio de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la forma y plazo de expedición de una certificación por la registradora de la propiedad de Torrelaguna.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 26/06/2017