Actualización de la Guía de la AEPD de brechas: de seguridad a datos personales
La Agencia Española de Protección de Datos (en adelante, AEPD), anunció en nota de prensa el pasado 24 de mayo, que habían procedido a actualizar su Guía para la notificación de brechas de datos personales. Según indican en dicho comunicado, en lo que llevamos de año ya han gestionado casi 700 brechas de datos “la mayoría producidas por ataques externos e intencionados, siendo el ransomware la amenaza más frecuente”. Esto no hace más que recordarnos que ninguna organización está exenta de sufrir una brecha.
La obligación de notificación de las violaciones de la seguridad de los datos personales, o también llamada autodenuncia, es una de las principales manifestaciones del principio de responsabilidad proactiva recogido en la actual normativa y que a los españoles en general nos ha costado más aceptar. No obstante, como bien recalca la propia Agencia, el hecho de comunicarla no implica necesariamente la imposición de una sanción. La Guía pretende en este sentido, facilitar sus obligaciones al responsable de manera que pueda hacerlo en tiempo y forma, demostrando la diligencia debida.
Para la actualización de la Guía se ha tenido en cuenta la experiencia adquirida por la AEPD, otras Autoridades de Control y el Comité Europeo de Protección de Datos, incluyendo referencias a documentación que puede simplificar el cumplimiento de las obligaciones. Así, de forma más clara y ordenada explica los procedimientos de notificación a la AEPD y comunicación a los afectados, y detalla el contenido de las notificaciones.
Se echa en falta el ejemplo de la anterior guía para la evaluación de brechas que ha sido sustituido por una serie de factores para evaluar el riesgo: tipo de brecha, naturaleza, carácter sensible y el volumen de datos personales, facilidad de identificación de las personas, gravedad de las consecuencias para los derechos y libertades, características particulares del responsable de tratamiento y número de personas afectadas.
Por otro lado, es importante señalar el establecimiento de nuevos plazos no determinados por la normativa:
- 72 horas para la comunicación del encargado: plazo independiente al previsto para que el responsable comunique la brecha a la AEPD.
- 30 días hábiles para completar la información de la notificación inicial: se podrá realizar la notificación de forma gradual para los supuestos en los que, en el momento de la notificación no fuese posible facilitar toda la información necesaria, realizando una notificación “inicial”, antes de las 72 horas señaladas, rellenando el formulario con la información preliminar que se disponga, o en su caso las estimaciones preliminares. Con posterioridad se dispondrá de un plazo de 30 días desde la notificación inicial, para completar toda la información mediante una “modificación” de la notificación anterior, incluida la decisión tomada sobre la comunicación de la brecha de datos personales a los afectados.
- 30 días hábiles para comunicar la confirmación de haber ejecutado la orden de la AEPD de comunicación de la brecha a los afectados.
Por último, destacamos el cambio en el título de la Guía que insiste en el hecho de que la brecha debe afectar a datos personales no siendo necesario comunicar las brechas de seguridad que únicamente afecten a otro tipo de datos.
La propia Guía subraya que “Las organizaciones que sufran una brecha de datos personales deben focalizar sus esfuerzos en evitar y mitigar las posibles consecuencias sobre los derechos fundamentales y libertades públicas de las personas afectadas.”
#Helas, #RGPD, #LOPDGDD, #protecciondatos, #notificación, #comunicación, #vulneración, #brecha, #seguridad
María de la Rica Ortega
Consultor de Helas Consultores
