Las brechas de datos personales pueden acarrear una serie de consecuencias muy considerables en las personas, que pueden llegar a ocasionar daños y perjuicios físicos, materiales o inmateriales. Es muy importante evitarlas, y en caso de que sucedan, solucionarlo de la mejor forma y sin demoras indebidas, especialmente, cuando puedan poner en riesgo los derechos y libertades de algunas personas físicas.
Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.
1. ¿Qué es una brecha de seguridad de datos personales?
Una brecha de seguridad es un incidente que afecta a datos de carácter personal. Este puede tener un origen accidental o intencionado y además puede afectar tanto a datos que estén plasmados en papel, como informatizados.
Se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
2. ¿Qué hacer ante un caso de estos?
El responsable del tratamiento, deberá estar preparado para cuando se dé un caso así. Elegirá las personas y las acciones que se llevarán a cabo en caso de producirse una brecha de seguridad. Para ello, lo primero es ser consciente de lo siguiente:
- Qué datos personales se están tratando.
- Con qué medios.
- Los riesgos que puede haber.
Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.
3. Notificación a la AEPD y comunicación a los afectados
Ante un caso de estos, el responsable deberá de valorar las posibles consecuencias sobre los afectados. Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc.
- Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se deberán notificar ante la AEPD en UN PLAZO MÁXIMO DE 72 HORAS desde que se tenga constancia.
- Si además entraña un alto riesgo deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos. La comunicación preferentemente se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que el responsable considere adecuado. La notificación deberá incluir el siguiente contenido mínimo:
- Datos de contacto del DPD, o en su caso, del punto de contacto en el que pueda obtenerse más información.
- Descripción general del incidente y momento en que se ha producido.
- Las posibles consecuencias de la brecha de datos personales.
- Descripción de los datos e información personal afectados.
- Resumen de las medidas implantadas hasta el momento para controlar los posibles daños.
- Otras informaciones útiles para que los afectados puedan proteger sus datos o prevenir posibles daños.
- En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que tendrá que valorar si notifica ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contrato mediante el cual se establece el encargo del tratamiento.
Con el marco establecido por el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 se promueve una cultura para la gestión diligente de los datos personales por parte de los encargados y responsables del tratamiento.
- Por un lado, esta nueva cultura de tratamiento de brechas de seguridad debe permitir minimizar el impacto sobre los afectados, estableciendo mecanismos para que puedan ser conscientes y puedan tomar medidas.
Por otro lado, igual de importante es aprender de la brecha de seguridad, y determinar qué ha fallado en los procedimientos de gestión de la información. Para ello, forma parte del principio de responsabilidad proactiva documentar en detalle la brecha y las acciones tomadas para gestionarla y prevenirla en el futuro.
| Para más información no lo dudes y… |