Fugas de información (fuga de datos) o violaciones de seguridad de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

El RGPD establece la obligación para todos los responsables del tratamiento de notificar las violaciones de seguridad de los datos antes de 72 horas desde que se haya tenido constancia de ella, a la autoridad de control (en el caso de España, será la Agencia Española de Protección de Datos) y a los afectados, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Debemos señalar que esta obligación supone una novedad por cuanto que antes de que resultase aplicable el RGPD, únicamente resultaba exigible notificar las brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público.

En todo caso, y conforme al principio de responsabilidad proactiva, los responsables están obligados a implementar medidas de seguridad que además de impedir o dificultar este tipo de incidencias, permitan -en su caso- detectar que la violación de seguridad se ha producido y analizar esta. Los responsables deben documentar todas las violaciones de seguridad acaecidas.

En este sentido,el Considerando 85 indica que "Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.

Por su parte, el Considerando 87 del RGPD, determina que debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Por otra parte, también resultará necesario verificar que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

Como se ha señalado el RGPD extiende la obligación de notificar la existencia de una brecha de seguridad a todos los responsables del tratamiento, y no únicamente a las empresas del sector de las comunicaciones electrónicas (como sucedía con anterioridad).

Pues bien, esta notificación debe de realizarse a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.

Igualmente, el encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. En caso de incumplimiento de esta obligación, la LOPDGDD, lo considera una infracción de carácter grave.

La notificación a la AEPD debe de realizarse atendiendo a lo dispuesto en el 33 del RGPD, de forma que se realice dentro de las 72 horas siguientes a que el responsable tenga constancia de ella y conteniendo como mínimo los siguientes extremos:

• descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

• comunicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

• descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;

• descripción las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

En el caso de que no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Por otra parte, la comunicación remitida al interesado -que deberá de efectuarse cuando la violación pudiera comportar un alto riesgo para los derechos de los interesados- deberá efectuarse tambien sin dilaciones indebidas, tal y como establece el artículo 34. La comunicación deberá describir la naturaleza de la violación de la seguridad de los datos personales y, como mínimo, la información y medidas del art. 33.3. b), c) y d), así como las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.

Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.

La comunicación remitida al interesesado deberá realizar en lenguaje claro y sencillo, y no será necesaria si se cumple alguna de las siguientes condiciones:

• El responsable hubiera adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.
• El responsable haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo. Con respecto a lo que debe de entender por alto riesgo , el RGPD indica que tal riego se producirá cuando sea probable que la violación de seguridad ocasione daños de entidad a los interesados.
• Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Por ultimo debemos referirnos a la posibles consecuencias que una fuga o violación de seguridad puede implicar en los interesados. Así el RGPD, señala que en el caso de que no se adopten las medidas preventivas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Pues bien, el art. 82 del RGPD reconoce expresamente el derecho a toda persona que sufra daños o perjuicios materiales o morales como consecuencia de una infracción de la norma a solicitar, ante los tribunales compententes, una indemnización al responsable, o al encargado del tratamiento cuando no haya cumplido con las obligaciones del RGPD o haya actuado al margen o en contra de las instrucciones legales el responsable.

Por lo que respecta al régimen sancionador, la LOPDGDD establece que el incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales, así como el incumplimiento del deber de comunicación al afectado si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación, se considerarán como infracciones graves. En cuanto a la notificación incompleta, tardía o defectuosa a la autoridad, el incumplimiento de la obligación de documentarla y el incumplimiento del deber de comunicación al afectado de las violaciones de la seguridad que entrañen un alto riesgo para los derechos y libertades de los afectados, se considerán como infracciones leves, al ser infracciones de carácter meramente formal.

Para ampliar información véase tambien la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD.