Fugas de información (fuga de datos) o violaciones de seguridad de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Quebrantamiento de la seguridad o violación de la seguridad de los datos personales

La adopción de medidas de seguridad es trascendental para una aplicación correcta de la normativa en protección de datos. Estas medidas deben estar muy bien definidas e implantadas con carácter previo a la práctica del tratamiento. No obstante, puede darse el caso de que alguna de esas medidas no sea suficiente o no sea efectiva, o simplemente no haya funcionado, significando una posible lesión sobre los derechos y libertades del interesado. Ello puede venir por una fuga de información, una brecha en la seguridad o, en definitiva, una violación del sistema de medidas de control que había sido diseñado.

El considerando (85) del RGPD hace una importante reflexión al respecto ya que establece: 

«Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión».

Concepto de violación de la seguridad de los datos personales

Como define el artículo 4, apartado 12, del RGPD, la «violación de la seguridad de los datos personales» es toda violación de la seguridad que ocasione la «destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Notificación de la existencia de una violación de la seguridad de los datos personales

El camino a seguir por el responsable ante una quiebra de la seguridad es comunicar dicha violación, por un lado, a la autoridad de control competente (AEPD en el caso español) y, por el otro, al interesado, en determinadas circunstancias tasadas en la normativa. 

Con carácter previo a las especialidades de cada notificación, el considerando (87) del RGPD declara:

«Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento».

a) Notificación a la AEPD

El artículo 33 del RGPD regula la notificación de una violación de seguridad de los datos personales a la autoridad de control y, transcribiendo el contenido de este precepto, debe destacarse respecto a la notificación lo siguiente:

• Debe realizar la notificación el responsable del tratamiento. 
• La violación de seguridad debe revestir carácter grave. 
• La notificación se realizará sin dilación indebida, en el plazo máximo de setenta y dos horas, transcurrido ese tiempo se deberá acompañar a la notificación la justificación de los motivos de la dilación. 
• El encargado debe notificar las violaciones sobre las que tenga conocimiento al responsable del tratamiento [el encargado debe ayudar al responsable en el cumplimiento de sus obligaciones, entre las que se encuentra la de notificación —art. 28, apartado 3, letra f), del RGPD—].

A TENER EN CUENTA. Entre las funciones del Comité está emitir directrices, recomendaciones y buenas prácticas a fin de constatar las violaciones de seguridad de datos y determinar la dilación indebida [art. 70.1 g) del RGPD].

Respecto a la notificación, esta debe incluir:

• Una descripción de la naturaleza de la violación de la seguridad (si fuera posible: categorías, n.º de afectados, categorías, n.º aprox. de registros de datos personales afectados, etc.).
• El contacto o datos del DPD o persona de contacto que ofrezca información.
• Las consecuencias de la violación de seguridad.
• La descripción de las medidas adoptadas o propuestas por el responsable para remediar la violación de la seguridad y de las medidas para paliar los posibles efectos negativos.
• Cualquier documentación que acredite la violación o relacionada con ella, así como de las medidas adoptadas, etc. 

Esta información deberá exponerse utilizando un lenguaje claro y sencillo y podrá facilitarse de manera gradual.

b) Notificación al interesado

Partiendo del artículo 12 del RGPD que ordena que el responsable del tratamiento debe tomar las medidas oportunas para facilitar al interesado toda información sobre los datos personales, siempre de forma concisa, transparente, inteligible y de fácil acceso, se redacta el artículo 34 del RGPD, que viene a disponer sobre la notificación al interesado cuando sea probable la violación de la seguridad de datos personales lo siguiente:

• La violación de la seguridad debe suponer un alto riesgo para los derechos y libertades de las personas físicas.
• La violación de la seguridad será comunicada por el responsable del tratamiento.
• La notificación se realizará sin dilación indebida. 
• En la notificación debe hacerse relación a:
  • La descripción de la violación de la seguridad con lenguaje claro y sencillo.
  • Al contacto o nombre del DPD u otro contacto que le de información.
  • La descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • La descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad o medidas para mitigar posibles efectos negativos.
• La autoridad de control puede exigir al responsable que comunique al interesado la violación de datos personales si considera que entrañan un alto riesgo, o también podrá valorar si concurren circunstancias que eximan de su notificación. 

A TENER EN CUENTA. El Comité debe emitir directrices, recomendaciones y buenas prácticas con respecto a las circunstancias en que esa probable violación de la seguridad de datos que entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No obstante, existen excepciones a esta notificación y, como bien recoge el artículo 34, en su apartado 3, del RGPD, no será necesaria la comunicación al interesado cuando el responsable:

• Haya adoptado las medidas de protección técnicas y organizativas apropiadas y se hayan aplicado a los datos personales afectados por la violación de la seguridad de los datos personales (especialmente las que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos —cifrado—).
• Haya tomado medidas ulteriores que garanticen que ya no existe probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.

Si la notificación supone un esfuerzo desproporcionado se optará por la comunicación pública o semejante que informe de manera efectiva a los interesados. 

CUESTIÓN

¿Qué ocurre si se incumple el deber de notificación, tanto del artículo 33 como 34 del RGPD?

La LOPDGDD establece en su artículo 73, r) y s), encuadrado dentro del régimen sancionador, que el incumplimiento de estos deberes constituye una infracción grave, con aplicación de la sanción correspondiente conforme al artículo 76 de la LOPDGDD y 83 del RGPD. 

¿Existe derecho a indemnización en caso de violación de la seguridad de los datos?

Como sabemos, la violación de datos puede entrañar daños y perjuicios materiales e inmateriales para el interesado. Así, el artículo 82 del RGPD reconoce el derecho a indemnización al interesado, por parte del responsable o encargado del tratamiento, por los daños sufridos a causa de una infracción del RGPD.

Además, el artículo 83, apartado 4, del RGPD establece para el caso de incumplimiento del deber de notificación multas administrativas de 10.000.000 euros como máximo, con cuantía equivalente al 2 % del volumen del negocio total anual global del ejercicio financiero anterior si se tratara de una empresa.