Nueva obligación de notificar las brechas de seguridad en 72 horas a la Agencia Española de Protección de Datos (AEPD)

El Reglamento UE 2016/679 (RGPD) establece la obligación para todos los Responsables del tratamiento de notificar las violaciones de seguridad de los datos antes de 72 horas a la Agencia Española de Protección de Datos (AEPD).

Aunque ya hayamos mencionado esta nueva obligación en nuestras anteriores publicaciones, no habíamos entrado a analizar todas las implicaciones que conlleva.

Antes de la entrada en vigor del RGPD solo se contemplaba la obligación de notificar las violaciones o brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público. Esto se encuentra regulado en la Ley 9/2014 General de Telecomunicaciones y en el  Reglamento (UE) nº 611/2013 de la Comisión.

En primer lugar debemos comenzar por el concepto de “violación de seguridad”. El Reglamento 2016/679 define este concepto como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Con el nuevo Reglamento 2016/679, además de los operadores de servicios de comunicaciones electrónicas, en su artículo 33 se establece que cualquier Responsable del tratamiento deberá notificar a la Autoridad de protección de datos competente, sin dilación indebida y de ser posible, a más tardar 72 horas después de que se haya tenido constancia, de la violación de la seguridad de los datos, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Además el Reglamento, especifica el contenido mínimo que debe albergar la notificación, en concreto se refiere a:

• La naturaleza de la violación.
• Las categorías de datos y de interesados afectados.
• Medidas adoptadas por el responsable para solventar la brecha.
• Las medidas aplicadas para paliar los efectos de la brecha.

Pero no solo será suficiente con notificar la brecha de seguridad, pues el Reglamento prevé obligaciones adicionales, en particular será necesario documentar todas las violaciones de seguridad, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas y además en los casos en que sea probable que la violación de seguridad entrañe alto riesgo para los derechos o libertades de los interesados también se deberá notificar a dichos interesados (artículo 34 Reglamento UE 2016/679).

Además si actuamos como Encargados del tratamiento, también tenemos la obligación de notificar a nuestro Responsables la brecha de seguridad sin dilación indebida.

Con este nuevo marco de obligaciones, tanto los profesionales como las empresas, debemos comenzar a esbozar la implantación de políticas o protocolos de notificación de brechas de seguridad en nuestras organizaciones.

Cuando nos planteemos nuestro protocolo o política de notificación de brechas de seguridad deberemos:

1. Constatar cuándo se ha tenido conocimiento de la brecha de seguridad  registrando  y documentando todas las actuaciones que se lleven a cabo. La propia Agencia Española de Protección de Datos interpreta que “la mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancia no debería dar lugar, todavía, a la notificación”.
2. Una vez constatado que efectivamente se ha producido una brecha de seguridad en nuestra organización, habrá que establecer los criterios que nos indiquen el alcance de la brecha de seguridad, ya que es necesario valorar el  impacto de la brecha. Es decir, ¿qué características tiene la brecha?, ¿qué tipo de datos o categorías de datos se han visto afectados?, ¿tiene consecuencias para los interesados?
3. Aplicar aquellas medidas técnicas u organizativas apropiadas al tipo de brecha de seguridad ante el que nos encontremos, en especial medidas correctoras que garanticen que no hay posibilidad de que se pueda materializar en un daño de alto alcance.
4. Tras tener claro los puntos anteriores, nuestro plan tiene que tener un timing o unos plazos de actuación para la notificación. Debemos plantearnos ¿es posible realizar la notificación dentro de esas 72 horas? En los casos en los que el problema sea muy complejo, se contempla la posibilidad de notificarlo con posterioridad al plazo señalado, pero deberá justificarse los motivos de la dilación.
5. Finalmente habrá que reflexionar sobre si es necesario notificar a los interesados, puesto que no es obligatorio en todos los casos y realizar una comunicación a todos los afectados además de ser muy laborioso puede afectar a nuestra reputación.

Desde H&A, expertos en vigilancia tecnológica animamos a los Responsables y Encargados del tratamiento a que comiencen a plantearse cómo van a implantar su protocolo o política  de notificación de brechas de seguridad, siempre buscando el apoyo profesional y especializado, en especial en esta materia, por las consecuencias reputacionales, legales y económicas que se dan en este tipo de sucesos.