LOPD Violación de la seguridad: ¿Qué son y cómo actuar?

Las consecuencias de una violación de la seguridad no dependen tanto del tamaño de la empresa como de la criticidad de la información que maneje. Concretándose casi siempre en daños reputacionales y sanciones penales, civiles, administrativas o deontológicas, en ocasiones de elevado importe.

El Reglamento (UE) 2016/679, de 27 de abril de 2016, (RGPD) define en su artículo 4.12 las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia:

«Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad en base a la anterior definición y deben ser tratadas como el RGPD establece en sus artículos 33 y siguientes.

Se considera que se tiene constancia de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella (artículo 33.1 RGPD).

La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

No obstante, en casos de quiebras que pudieran tener un gran impacto, es recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido, sin perjuicio de una notificación formal más completa dentro del plazo legalmente previsto.

La notificación ha de incluir un contenido mínimo (artículo 33.3 RGPD):

– la naturaleza de la violación

– categorías de datos y de interesados afectados

– medidas adoptadas por el responsable para solventar la quiebra

– si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

Los responsables deben documentar todas las violaciones de seguridad y tratar de establecer hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede tener para los afectados puede causar un daño en sus derechos o libertades.

Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos. Con el propósito de que el interesado afectado pueda reaccionar tan pronto como sea posible.

La no comunicación (artículo 83.4 RGPD) a la autoridad de protección de datos se considera una infracción sancionable con multa administrativa de hasta 10.000.000,00 € (en función de las circunstancias contempladas en el artículo 83.2 RGPD) o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

La protección de la información se articula en torno al respeto de tres principios básicos:

– La confidencialidad implica que la información sea accesible únicamente por el personal autorizado.

– La integridad de la información implica que la información sea correcta y esté libre de modificaciones y errores. Hay que tener presente que la información puede ser alterada intencionadamente o ser incorrecta, lo que supone un riesgo si basamos nuestras decisiones en ella.

– La disponibilidad de la información se refiere a que la información esté accesible para las personas o sistemas autorizados, cuando sea necesario.

La protección de la información es ya un aspecto esencial en la gestión de cualquier organización (con independencia de la normativa en protección de datos), y deberemos destinar los recursos necesarios en función de los riesgos que afrontemos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *