Dentro de la política de protección de datos que toda empresa deberá tener implantada, destaca el protocolo para detectar violaciones de seguridad de los datos personales que, en términos generales, incorporará los procedimientos necesarios para que queden registrados los incidentes de seguridad y la resolución de los mismos.
El Reglamento General de Protección de Datos, en adelante RGPD, define las violaciones de seguridad de los datos o “quiebras de seguridad”, como cualquier circunstancia que pueda poner en peligro la seguridad de los datos (por ej.: pérdida de un portátil; virus; accesos no autorizados…), incluyendo todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- No obstante, no todo incidente de seguridad tiene por qué dar lugar a una violación o brecha de seguridad de los datos, de ahí la importancia de disponer de un protocolo de actuación cuyas consecuencias serán diferentes en función del tipo de incidente que se produzca.
- En el supuesto de que tenga lugar una violación de la seguridad de los datos, el responsable del tratamiento la notificará a la Agencia Española de Protección de Datos, que es la autoridad de control en España, en el plazo máximo de 72 horas después de que haya tenido constancia de ella, salvo que dicha violación de seguridad sea improbable que constituya un riesgo para los derechos y las libertades de las personas físicas, en cuyo caso no será necesario cursar la notificación.
En la notificación se indicará como mínimo la naturaleza de la violación de datos, incluyendo, si es posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados; el nombre y los datos de contacto del delegado de protección de datos, en su caso, o de otro punto de contacto en el que pueda obtenerse más información al respecto; descripción de las posibles consecuencias de la violación de la seguridad de los datos personales; descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Asimismo, en caso de que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, éstos también deberán ser informados sin dilación, conforme a lo previsto en los arts. 33 y 34 del RGPD, con objeto de que puedan tomar medidas lo antes posible y evitar posibles consecuencias.
En cualquier caso, el responsable del tratamiento deberá estar en disposición, en todo momento, de acreditar y, por tanto, demostrar el cumplimiento de sus obligaciones en protección de datos que, para el caso de las violaciones de seguridad de los datos, tendrá lugar siempre y cuando se siga el protocolo expuesto.
Es muy recomendable consultar la “Guía para la notificación de brechas de datos personales” elaborada por la Agencia Española de Protección de Datos en la que se detalla no solo el procedimiento sino también las distintas herramientas que desde dicha entidad se ponen a disposición de los responsables y/o encargados del tratamiento para la gestión de las mismas.
Autora: S. Torres