Skip to main content

El Reglamento General de Protección de Datos (RGPD) determina las violaciones de seguridad de datos personales como “toda violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Las violaciones definidas en el apartado 12 del artículo 4 del RGPD únicamente afectan a datos de carácter personal. En este sentido debe tenerse en cuenta que, aunque todas las brechas de seguridad de datos son incidentes de seguridad, no todos los incidentes de seguridad son obligatoriamente brechas de datos personales.
Una violación de seguridad de datos personales puede conllevar desde daños y perjuicios físicos, materiales o inmateriales, hasta la pérdida del control de los datos personales, usurpación de identidad, daño reputacional para las empresas o cualquier otro menoscabo económico o social para las personas.
Por este motivo, con el fin de evitar sus consecuencias y posibles efectos adversos, el responsable del tratamiento de los datos personales debe adoptar medidas de seguridad, herramientas y mecanismos, dirigidos a minimizar los riesgos para los derechos y libertades de las personas (accesos con usuario y contraseña, cifrado o seudoniminización, alertas de sistemas de detección o prevención de intrusión, análisis de anomalías de tráfico de red, etc.).
Los aspectos más relevantes a la hora de actuar ante una brecha de seguridad es la rapidez y agilidad, dado que el tiempo es un factor que incrementa sus efectos. En el momento que el responsable del tratamiento detecte e identifique una brecha de seguridad deberá notificar sin dilación indebida a la Agencia Española de Protección de Datos (AEPD) o autoridad de control competente, y a más tardar 72 horas después del conocimiento de la misma. Toda comunicación realizada fuera de este plazo deberá ir acompañada de los motivos que han ocasionado tal retraso.
Dicha notificación deberá contener como mínimo los siguientes aspectos:
– descripción de la naturaleza de la violación de seguridad de los datos personales, así como las categorías y el número aproximado de afectados cuando sea posible,
– nombre y datos de contacto del Delegado de Protección de Datos (DPD) u otro contacto a fin de obtener más información,
– descripción de las posibles consecuencias de la violación de seguridad,
– descripción de las medidas adoptadas o planteadas por el responsable del tratamiento para poner remedio, incluyendo si procede, las medidas de seguridad para mitigar los posibles efectos.
En caso de no ser posible proporcionar conjuntamente esta información, deberá facilitarse de manera gradual sin dilación indebida. Asimismo, deberá documentarse todo el proceso de cualquier violación de seguridad detallando así los hechos que tengan relación, sus efectos y medidas correctivas de manera que facilite a la AEPD verificar su cumplimiento.
Por otra parte, cuando la violación de seguridad pueda conllevar un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá comunicar al interesado sin dilación indebida y de manera clara y sencilla, la naturaleza de la violación, el nombre y apellidos del DPD en el caso de grandes empresas o el propio responsable del tratamiento si se tratan de empresas pequeñas o con tratamientos sencillos, las posibles consecuencias y las medidas adoptadas al respecto. No obstante, no será necesario si se han adoptado a las medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados o suponga un esfuerzo desproporcionado.
Por último, el incumplimiento del deber de notificación de las violaciones de seguridad de datos personales, además de ocasionar un grave perjuicio para las personas, puede acarrear multas administrativas de hasta 10 millones de euros como máximo o una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior, graduándolas en función de los distintos criterios (art. 83.2 RGPD).