Brechas de Seguridad

¿Qué es una violación de la seguridad de datos personales?

La normativa de protección de datos define, de un modo amplio, las “violaciones de la seguridad de los datos personales” o “brechas de seguridad” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Importante: en materia de protección de datos se considera “violación de la seguridad” cuando el incidente afecte a datos de carácter personal, y en consecuencia dicho incidente pueda comprometer al responsable del tratamiento en el cumplimiento de los principios del Reglamento General de Protección de Datos. Por tanto, se debe tener en cuenta que, aunque todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente brechas de datos personales.

¿Cuándo se debe notificar una violación de la seguridad de datos personales?

Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes.

La única excepción a esta obligación de notificación tendría lugar cuando, conforme al principio de responsabilidad proactiva, el responsable pueda demostrar que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas.

¿Cuál es el plazo para notificar una violación de la seguridad de datos personales en una entidad?

Debe comunicarse sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.

¿Cómo se puede realizar la notificación de la violación de seguridad?

En trámites ante el Consejo puede encontrarse el formulario para realizar la correspondiente notificación, así como información sobre cómo presentar la misma.

¿Debe comunicarse también una violación de seguridad a las personas afectadas?

Con independencia de la notificación a la autoridad de control, el Reglamento General de Protección de datos establece que una brecha de seguridad debe comunicarse a las personas afectadas cuando sea probable que la brecha de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.

A estos efectos, la Agencia Española de Protección de Datos ha elaborado una herramienta que ha sido integrada en la página web del Consejo, denominada Comunica-Brecha RGPD, con el objeto de ayudar a la decisión sobre la realización de la mencionada comunicación.

Un virus ha paralizado los servidores de un organismo. ¿Debe comunicarse al Consejo? ¿Es suficiente con denunciarlo a la policía?

La denuncia ante las autoridades policiales no exime de notificar a la autoridad de control toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, siempre que constituya un riesgo para los derechos y las libertades de las personas físicas.

La notificación debe realizarse al Consejo cuando la entidad afectada se encuentre bajo su ámbito competencial; en otro caso se realizará ante la Agencia Española de Protección de Datos o la autoridad autonómica competente.