Brechas de Seguridad

La normativa de protección de datos define, de un modo amplio, las “violaciones de la seguridad de los datos personales” o “brechas de seguridad” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.” 

 

Importante: en materia de protección de datos se considera “violación de la seguridad” cuando el incidente afecte a datos de carácter personal, y en consecuencia dicho incidente pueda comprometer al responsable del tratamiento en el cumplimiento de los principios del Reglamento General de Protección de Datos. Por tanto, se debe tener en cuenta que, aunque todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente brechas de datos personales.

Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes. 

 

La única excepción a esta obligación de notificación tendría lugar cuando, conforme al principio de responsabilidad proactiva, el responsable pueda demostrar que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas.

Debe comunicarse sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
 

En trámites ante el Consejo puede encontrarse el formulario para realizar la correspondiente notificación, así como información sobre cómo presentar la misma. 

Con independencia de la notificación a la autoridad de control, el Reglamento General de Protección de datos establece que una brecha de seguridad debe comunicarse a las personas afectadas cuando sea probable que la brecha de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. 

 

A estos efectos, la Agencia Española de Protección de Datos ha elaborado una herramienta que ha sido integrada en la página web del Consejo, denominada Comunica-Brecha RGPD, con el objeto de ayudar a la decisión sobre la realización de la mencionada comunicación. 
 

La denuncia ante las autoridades policiales no exime de notificar a la autoridad de control toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, siempre que constituya un riesgo para los derechos y las libertades de las personas físicas.

 

La notificación debe realizarse al Consejo cuando la entidad afectada se encuentre bajo su ámbito competencial; en otro caso se realizará ante la Agencia Española de Protección de Datos o la autoridad autonómica competente.