Fugas de información (fuga de datos) o violaciones de seguridad de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

La violación de la seguridad de los datos personales (más comúnmente conocida como "quiebra de seguridad"), es definida en el artículo 4 del RGPD, de una forma muy amplia, como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

El RGPD establece la obligación para todos los responsables del tratamiento de notificar las violaciones de seguridad de los datos antes de 72 horas desde que se haya tenido constancia de ella, a la autoridad de control (en el caso de España, será la Agencia Española de Protección de Datos) y a los afectados, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Debemos señalar que esta obligación supone una novedad por cuanto que antes de que resultase aplicable el RGPD, únicamente resultaba exigible notificar las brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público.

Se considera que se tiene constancia de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

En todo caso, y conforme al principio de responsabilidad proactiva, los responsables están obligados a implementar medidas de seguridad que además de impedir o dificultar este tipo de incidencias, permitan -en su caso- detectar que la violación de seguridad se ha producido y analizar esta. Los responsables deben documentar todas las violaciones de seguridad acaecidas.

En este sentido,el Considerando 85 indica que "Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.

Por su parte, el Considerando 87 del RGPD, determina que debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Por otra parte, también resultará necesario verificar que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

Como se ha señalado el RGPD extiende la obligación de notificar la existencia de una brecha de seguridad a todos los responsables del tratamiento, y no únicamente a las empresas del sector de las comunicaciones electrónicas (como sucedía con anterioridad).

Pues bien, esta notificación debe de realizarse a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.

Igualmente, el encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. En caso de incumplimiento de esta obligación, la LOPDGDD, lo considera una infracción de carácter grave.

 

La notificación a la AEPD debe de realizarse atendiendo a lo dispuesto en el 33 del RGPD, de forma que se realice dentro de las 72 horas siguientes a que el responsable tenga constancia de ella y conteniendo como mínimo los siguientes extremos:

  • descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
  • comunicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  • descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
  • descripción las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

En el caso de que no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

 

Por otra parte, la comunicación remitida al interesado -que deberá de efectuarse cuando la violación pudiera comportar un alto riesgo para los derechos de los interesados- deberá efectuarse tambien sin dilaciones indebidas, tal y como establece el artículo 34. La comunicación deberá describir la naturaleza de la violación de la seguridad de los datos personales y, como mínimo, la información y medidas del art. 33.3. b), c) y d), así como las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.

Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.

La comunicación remitida al interesesado deberá realizar en lenguaje claro y sencillo, y no será necesaria si se cumple alguna de las siguientes condiciones:

  • El responsable hubiera adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.
  • El responsable haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo. Con respecto a lo que debe de entender por alto riesgo , el RGPD indica que tal riego se producirá cuando sea probable que la violación de seguridad ocasione daños de entidad a los interesados.
  • Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Por ultimo debemos referirnos a la posibles consecuencias que una fuga o violación de seguridad puede implicar en los interesados. Así el RGPD, señala que en el caso de que no se adopten las medidas preventivas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Pues bien, el art. 82 del RGPD reconoce expresamente el derecho a toda persona que sufra daños o perjuicios materiales o morales como consecuencia de una infracción de la norma a solicitar, ante los tribunales compententes, una indemnización al responsable, o al encargado del tratamiento cuando no haya cumplido con las obligaciones del RGPD o haya actuado al margen o en contra de las instrucciones legales el responsable.

Por lo que respecta al régimen sancionador, la LOPDGDD establece que el incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales, así como el incumplimiento del deber de comunicación al afectado si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación, se considerarán como infracciones graves. En cuanto a la notificación incompleta, tardía o defectuosa a la autoridad, el incumplimiento de la obligación de documentarla y el incumplimiento del deber de comunicación al afectado de las violaciones de la seguridad que entrañen un alto riesgo para los derechos y libertades de los afectados, se considerán como infracciones leves, al ser infracciones de carácter meramente formal.

Para ampliar información véase tambien la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD.

 

No hay versiones para este comentario

Violación de la seguridad de los datos personales
Persona física
Seguridad de los datos personales
Responsable del tratamiento
Dilaciones indebidas
Protección de datos
Daños y perjuicios
Datos personales
Principio de responsabilidad
Quiebra
Autoridad de control de datos
Comunicación electrónica
Perjuicios económicos
Datos confidenciales
Perjuicio económico
Secreto profesional
Reversión
Anonimización de datos
Suplantación de identidad
Medidas de seguridad
Encargado del tratamiento
Delegado de protección
Medidas de seguridad en el trabajo
Incumplimiento de las obligaciones
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). ...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados