Categorías
Formación LOPD LOPD Reglamento Europeo 2016/679

Notificaciones de las violaciones de seguridad de los datos personales en el Reglamento General de Protección de Datos

Aplicabilidad directa en España del Reglamento UE 2016/679

El Reglamento de la Unión Europea 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, el Reglamento General de Protección de Datos, deroga la Directiva 95/46/CE de la que trae causa nuestra actual Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (la famosa LOPD) convirtiendo en inaplicable cualquier precepto de cualquier norma nacional que lo contradiga (tanto de la LOPD como del RD 1720/2007 de desarrollo de la misma) al ser, conforme al artículo 288 del Tratado de Funcionamiento de la Unión Europea, norma de alcance general, obligatoria en todos sus elementos, directamente aplicable en cada Estado miembro, incluyéndose directamente en el orden jurídico interno de los Estados miembros y no necesitando estar integrado en el derecho interno mediante un texto nacional para su aplicación.

Este Reglamentó entró en vigor el 25 de mayo de 2016 aunque se aplicación se ha demorado hasta el 25 de mayo de 2018.

Son muchas las NOVEDADES que se introducen en materia de privacidad y protección de datos de carácter personal, iremos analizando todas ellas.

Hoy trataremos sobre el régimen legal que se establece para las notificaciones de las violaciones de seguridad de los datos personales.

bombero

¿Qué es una violación de seguridad de los datos personales según el RGPD?

El artículo 4 del RGPD en su punto 12 define una violación de la seguridad de los datos personales como:

“Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

papelroto

 

Dicho precepto recoge los principios básicos en el ámbito de la seguridad de la información, de integridad, disponibilidad y confidencialidad, pero referidos a la transmisión, conservación o tratamiento de los datos personales. A rasgos generales entendemos por integridad entendemos conservar la totalidad de la información de forma inalterada, por disponibilidad la garantía del acceso a la información en cualquier momento, y por confidencialidad evitar el acceso a la información por personas no autorizadas. Dichos principios se reflejan en el precepto indicado cuando se refiere a la destrucción, pérdida o alteración accidental o ilícita y la comunicación o acceso no autorizados.

¿Qué consecuencias se derivan de una violación de seguridad?

El considerando 86 establece que:

“Si no se toman a tiempo medidas adecuadas las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]”

roturacristal

Si fracasan las medidas de seguridad establecidas que con carácter proactivo se hayan tomado (en el ámbito de la seguridad de la información, por definición y evidencias prácticas, no se puede asegurar nunca un cien por cien de seguridad) la falta de reacción ante esa quiebra de la seguridad podría provocar que se originasen daños y perjuicios a los titulares de los datos personales que son objeto de tratamiento, que conllevaría la obvia y manifiesta pérdida de control sobre los datos (contenido esencial del derecho a la protección de datos) ya que dicha información podría no ser recuperada por quien la está tratando o podrían acceder a ella personas a las que no se les otorgó autorización para ello, y otras consecuencias de esta falta de control que implica restricción de sus derechos (se enumeran a título enunciativo posibles discriminaciones, usurpaciones de identidad, pérdidas económicas o atentados a la reputación o revelaciones de datos ya anonimizados  -que no podían vincularse a persona identificada o identificable- y la pérdida de confidencialidad)

Este considerando prosigue diciendo que:

Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.”

reloj

Esta comunicación es la que desgraciadamente cada vez es más frecuente observar en los medios de comunicación donde comprobamos que ninguna empresa o entidad está libre de los ataques de ciberdelincuentes (ataques con pérdidas de información o robo de contraseñas) pero no se limitaría a las pérdidas de confidencialidad sino también podría referirse a la destrucción irreversible de información, por ejemplo a causa de la destrucción de todas las copias de seguridad o también por la pérdida, por sustracción o destrucción, de información en soporte papel.

El considerando 87 se centra en la protección tecnológica y en las medidas de control para conocer si se ha producido una violación de la seguridad y las medidas relativas para informar “sin dilación” a la autoridad de control (Agencia Española de Protección de Datos u otras competentes en supuestos de tratamientos transnacionales) y al titular de los datos afectado, dependiendo de la naturaleza y gravedad de lo ocurrido así como de los efectos causados. Así establece que:

“Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.”

tecnology

El modo procedimental para efectuar las notificaciones viene enmarcado en el considerando 88:

“Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violación, inclusive si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizar innecesariamente la investigación de las circunstancias de una violación de la seguridad de los datos personales.”

libreta

Régimen legal

Los artículos 33 y 34 son los que regulan las notificaciones de las violaciones de seguridad de los datos personales.

Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

  1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

  2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

  3. La notificación contemplada en el apartado 1 deberá, como mínimo:

    1. describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

    2. comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

    3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;

    4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

  4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

  5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 34. Comunicación de una violación de la seguridad de los datos personales al interesado

  1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

  2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).

  3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

    1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

    2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

    3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

Conclusiones

Estas previsiones están pensadas y configuradas para el tratamiento automatizado y más concretamente para el tratamiento realizado en redes, donde es más probable que se pueda dar una brecha de seguridad, pero nada obsta a que puedan surgir vulnerabilidades en los tratamientos no automatizados y en los protocolos de seguridad establecidos para los mismos. No obstante, los mayores riesgos y consecuencias se enmarcan en el tratamiento de datos on line.

tejadoroto

Hay un dicho en el ámbito de la ciberseguridad: existen dos tipos de sistemas, los que han sido vulnerados y los que van a ser vulnerados.

Aceptar la evidencia de que no existe el cien por cien de seguridad es el primer paso, estar concienciados y preparados para aceptar los riesgos y consecuencias el siguiente (el parcheo constante de actualizaciones de los sistemas y de aplicaciones es la punta del iceberg que nos demuestra que ningún sistema es seguro al cien por cien)

Este mecanismo nos acerca a una “normalización” sobre una realidad que debemos aceptar: aunque se disponga de las últimas innovaciones tecnologías en medidas de seguridad nadie está libre de padecer una brecha de seguridad, y la reacción lógica y adecuada es avisar a los afectados para que puedan actuar en consecuencia y con ello minimizar las consecuencias en todos los aspectos posibles.

Recordemos la “autodenuncia” de Pepephone (Procedimiento Nº PS/00496/2013) precursora de esta materia y por la que se puso de manifiesto que se adolecía de los mecanismos legales y procedimientales necesarios para avisar a los afectados de posibles violaciones de seguridad sobre sus datos.

Si no adoptamos medidas de seguridad nuestros sistemas serán vulnerables y propensos a enormes brechas de seguridad, en este supuesto la sanción por no adoptar las medidas de seguridad adecuadas, es segura, pero si adoptamos las mejores medidas de seguridad y pesar de ello sufrimos una brecha de seguridad, y no se notifica, sí será un supuesto de infracción sancionable.

Queda por ver el sistema de sanciones por las infracciones cometidas que adopte el Estado español tal como establece el artículo 84 del RGPD

Artículo 84. Sanciones

  1. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

  2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.

conforme a las “Condiciones generales para la imposición de multas administrativas” del artículo 83.

500

[Tweet «Notificaciones vulneración seguridad en Reglamento General de Protección de Datos UE»]