Fugas de información (fuga de datos) o violaciones de seguridad de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

La violación de la seguridad de los datos personales (más comúnmente conocida como «quiebra de seguridad»), definida en el artículo 4, apartado 12, del RGPD, también se desarrolla en los artículos 33 y 34 del RGPD, donde se regula su notificación a la autoridad competente y al interesado, respectivamente.

Quebrantamiento de la seguridad o violación de la seguridad de los datos personales

La adopción de medidas de seguridad es trascendental para una aplicación correcta de la normativa en protección de datos. Estas medidas deben estar muy bien definidas e implantadas con carácter previo a la práctica del tratamiento. No obstante, puede darse el caso de que alguna de esas medidas no sea suficiente o no sea efectiva, o simplemente no haya funcionado, significando una posible lesión sobre los derechos y libertades del interesado. Ello puede venir por una fuga de información, una brecha en la seguridad o, en definitiva, una violación del sistema de medidas de control que había sido diseñado.

El considerando (85) del RGPD hace una importante reflexión al respecto ya que establece: 

«Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión».

Concepto de violación de la seguridad de los datos personales

Como define el artículo 4, apartado 12, del RGPD, la «violación de la seguridad de los datos personales» es toda violación de la seguridad que ocasione la «destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Notificación de la existencia de una violación de la seguridad de los datos personales

El camino a seguir por el responsable ante una quiebra de la seguridad es comunicar dicha violación, por un lado, a la autoridad de control competente (AEPD en el caso español) y, por el otro, al interesado, en determinadas circunstancias tasadas en la normativa. 

Con carácter previo a las especialidades de cada notificación, el considerando (87) del RGPD declara:

«Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento».

a) Notificación a la AEPD

El artículo 33 del RGPD regula la notificación de una violación de seguridad de los datos personales a la autoridad de control y, transcribiendo el contenido de este precepto, debe destacarse respecto a la notificación lo siguiente:

  • Debe realizar la notificación el responsable del tratamiento. 
  • La violación de seguridad debe revestir carácter grave. 
  • La notificación se realizará sin dilación indebida, en el plazo máximo de setenta y dos horas,transcurrido ese tiempo se deberá acompañar a la notificación la justificación de los motivos de la dilación. 
  • El encargado debe notificar las violaciones sobre las que tenga conocimiento al responsable del tratamiento [el encargado debe ayudar al responsable en el cumplimiento de sus obligaciones, entre las que se encuentra la de notificación —art. 28, apartado 3, letra f), del RGPD—].

A TENER EN CUENTA. Entre las funciones del Comité está emitir directrices, recomendaciones y buenas prácticas a fin de constatar las violaciones de seguridad e datos y determinar la dilación indebida [art. 70.1 g) del RGPD].

Respecto a la notificación, esta debe incluir:

  • Una descripción de la naturaleza de la violación de la seguridad (si fuera posible: categorías, n.º de afectados, categorías, n.º aprox. de registros de datos personales afectados, etc.).
  • El contacto o datos del DPD o persona de contacto que ofrezca información.
  • Las consecuencias de la violación de seguridad.
  • La descripción de las medidas adoptadas o propuestas por el responsable para remediar la violación de la seguridad y de las medidas para paliar los posibles efectos negativos.
  • Cualquier documentación que acredite la violación o relacionada con ella, así como de las medidas adoptadas, etc. 

Esta información deberá exponerse utilizando un lenguaje claro y sencillo y podrá facilitarse de manera gradual.

b) Notificación al interesado

Partiendo del artículo 12 del RGPD que ordena que el responsable del tratamiento debe tomar las medidas oportunas para facilitar al interesado toda información sobre los datos personales, siempre de forma concisa, transparente, inteligible y de fácil acceso, se redacta el artículo 34 del RGPD, que viene a disponer sobre la notificación al interesado cuando sea probable la violación de la seguridad de datos personales lo siguiente:

  • La violación de la seguridad debe suponer un alto riesgo para los derechos y libertades de las personas físicas.
  • La violación de la seguridad será comunicada por el responsable del tratamiento.
  • La notificación se realizará sin dilación indebida. 
  • En la notificación debe hacerse relación a:
    • La descripción de la violación de la seguridad con lenguaje claro y sencillo.
    • Al contacto o nombre del DPD u otro contacto que le de información.
    • La descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    • La descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad o medidas para mitigar posibles efectos negativos.
  • La autoridad de control puede exigir al responsable que comunique al interesado la violación de datos personales si considera que entrañan un alto riesgo, o también podrá valorar si concurren circunstancias que eximan de su notificación. 

A TENER EN CUENTA. El Comité debe emitir directrices, recomendaciones y buenas prácticas con respecto a las circunstancias en que esa probable violación de la seguridad de datos que entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No obstante, existen excepciones a esta notificación y, como bien recoge el artículo 34, en su apartado 3, del RGPD, no será necesaria la comunicación al interesado cuando el responsable:

  • Haya adoptado las medidas de protección técnicas y organizativas apropiadas y se hayan aplicado a los datos personales afectados por la violación de la seguridad de los datos personales (especialmente las que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos —cifrado—).
  • Haya tomado medidas ulteriores que garanticen que ya no existe probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.

Si la notificación supone un esfuerzo desproporcionado se optará por la comunicación pública o semejante que informe de manera efectiva a los interesados. 

CUESTIÓN

¿Qué ocurre si se incumple el deber de notificación, tanto del artículo 33 como 34 del RGPD?

La LOPDGDD establece en su artículo 73, r) y s), encuadrado dentro del régimen sancionador, que el incumplimiento de estos deberes constituye una infracción grave, con aplicación de la sanción correspondiente conforme al artículo 76 de la LOPDGDD y 83 del RGPD

¿Existe derecho a indemnización en caso de violación de la seguridad de los datos?

Como sabemos, la violación de datos puede entrañar daños y perjuicios materiales e inmateriales para el interesado. Así, el artículo 82 del RGPD reconoce el derecho a indemnización al interesado, por parte del responsable o encargado del tratamiento, por los daños sufridos a causa de una infracción del RGPD.

Concretando, el artículo 83, apartado 4, del RGPD establece para el caso de incumplimiento del deber de notificación multas administrativas de 10.000.000 euros como máximo, con cuantía equivalente al 2 % del volumen del negocio total anual global del ejercicio financiero anterior si se tratara de una empresa. 

 

  

No hay versiones para este comentario

Violación de la seguridad de los datos personales
Autoridad de control de datos
Protección de datos
Persona física
Dilaciones indebidas
Responsable del tratamiento
Daños y perjuicios
Quiebra
Datos personales
Medidas de seguridad
Perjuicios económicos
Reversión
Anonimización de datos
Suplantación de identidad
Perjuicio económico
Secreto profesional
Buenas prácticas
Seguridad de los datos personales
Derecho a indemnización
Multa administrativa
Encargado del tratamiento
Documentos relacionados
Ver más documentos relacionados
  • Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 31/05/2021

    La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...

  • Principio de confidencialidad en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El artículo 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. Ya en la LOPDGDD se establece el deber de confidencialidad de los datos en su artículo 5.El deber de con...

  • Gestión de riesgos y EIPD en un despacho de abogados o procuradores

    Orden: Administrativo Fecha última revisión: 11/02/2022

    El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...

  • Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)

    Orden: Administrativo Fecha última revisión: 20/07/2021

    Artículo 47 de la LOPDGDD«Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular, ejercer las funciones establecidas en el artículo 57 y las potest...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 22/07/2021

    Las infracciones se recogen de manera sucinta en el artículo 83 del RGPD y, de un modo más específico, en los artículos 71 a 74 de la LOPDGDD.Conductas infractoras en materia de protección de datosComo recoge el artículo 71 de la LOPDGDD, const...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados