ACTUALIZACIÓN EN MATERIA DE BRECHAS DE SEGURIDAD

hacker-gdbbbc62ac_1280

La Agencia Española de Protección de Datos (en adelante AEPD) recientemente ha lanzado la herramienta gratuita  Asesora Brecha para ayudar a los responsables del tratamiento a valorar si existe una obligación de notificar las brechas de seguridad a ésta, como autoridad de control en materia de protección de datos.

Antes de entrar en el análisis de la nueva herramienta, realicemos un breve repaso sobre conceptos básicos:

¿Cómo define el RGPD las brechas de seguridad?

La define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado”. Es decir, cualquier hecho que afecte a la confidencialidad, integridad o disponibilidad de los datos personales.

¿Es necesario proceder a notificar en todos los casos las brechas de seguridad?

No siempre será necesario proceder a notificar a la autoridad de control. De acuerdo con el artículo 33 del RGPD, el responsable del tratamiento tendrá la obligación de notificación a la autoridad de control sin dilaciones indebidas y en un plazo máximo de 72 horas cuando sea probable que la brecha constituya un riesgo para los derechos y libertades de aquellas personas afectadas por la misma.  Dicha notificación podrá realizarse en un plazo posterior a las 72 horas, pero siempre deberá ir acompañada de una justificación en la que se expongan los motivos por los que no ha podido notificarse en los plazos establecidos.

La AEPD lanzó en octubre de 2020 la herramienta gratuita Comunica-Brecha RGPD para coadyuvar a determinar si una brecha de seguridad se debía notificar o no a los interesados. Obligación que se recoge en el artículo 34 del RGPD, para aquellos casos en que la brecha de seguridad entrañe un alto riesgo para los derechos y libertades de aquellos interesados afectados por la violación de seguridad. Para ello, la herramienta analizaba cuestiones relativas a:


  • El sector de actividad de la entidad que la que se había detectado la incidencia

  • El origen o ámbito del incidente (interno o externo) tipo de datos afectados.

  • Información para determinar el tipo de incidencia producida, cuándo se ha producido la incidencia y si se la entidad tenía implementadas medidas técnicas y organizativas antes de que sucediese dicha incidencia. evaluar si se cumplen con medidas técnicas y organizativas que hiciesen improbable que dicha violación constituya, tipos de datos que se hubiesen visto afectados, información para determinar cuantitativa y cualitativamente el tipo de interesados afectados..

Si bien esta herramienta era útil, si una entidad llegaba al punto de tener que notificar a los interesados, previamente habría tenido que notificar a la autoridad de control, conforme al artículo 33 del RGPD.

Asesora Brecha

La nueva herramienta de la AEPD se proyecta como una ayuda en la toma de decisiones sobre el cumplimiento de la notificación de brechas de seguridad a la autoridad de control. Específicamente, realiza cuestiones dirigidas a determinar quién realiza el análisis de la brecha (persona afectada por la incidencia, personas conocedoras con la incidencia no vinculadas a la entidad, encargado del tratamiento o responsable del tratamiento), de forma que pueda orientar respecto a cómo proceder ante el incidente.

En el caso se ser una persona afectada por la incidencia o personas conocedoras con la incidencia no vinculadas a la entidad o un encargado del tratamiento, orienta a éstos para que contacten con el responsable del tratamiento y le proporcionen toda la información pertinente para determinar el tipo de brecha sucedida.

La obligación de notificar recae sobre el responsable del tratamiento, conforme al artículo 33 del RGPD.

En el caso de que quien utilice la herramienta sea un responsable del tratamiento, evalúa las características de éste, es decir, si es una entidad vinculada al sector público o privada y dónde esta establecida dicha entidad para determinar, en su caso, a qué autoridad se debe acudir ya que, junto con la AEPD, existen en España otras Autoridades Autonómicas con competencia en Protección de Datos:

Si bien la implementación de estas herramientas es positiva, debe tenerse en cuenta que, si bien las herramientas pueden servir de ayuda en la toma de decisiones, no deben tomarse únicamente basándose en el uso de las mismas, ya que no constituyen una opinión vinculante de la AEPD. Tras hacer uso de ésta, se dirige más a orientar a los usuarios de la herramienta hacia quién deben dirigirse que a analizar la incidencia en sí.  Por tanto, cada responsable estará sujeto a la obligación de tomar las decisiones en base un análisis específico y minucioso sobre la incidencia que debe generarse dentro de la propia entidad.

Para poder realizar dicho análisis, es de suma importancia que toda entidad cuente con una política específica de gestión y notificación de brechas de seguridad, en consonancia con lo establecido en la normativa de protección de datos y en las directrices de las autoridades de control, con el que determinemos:


  • Los criterios para detectar la materialización de brechas sobre datos personales.

  • Los responsables de dentro de la organización a los que se deba informar de cualquier incidente.

  • Los mecanismos de evaluación, documentación y gestión de incidentes que se deben tomar para poder determinar medidas de mitigación de los riesgos existentes, en base a análisis de riesgos y evaluaciones de impacto en protección de datos, en base a las circunstancias específicas y el contexto de la brecha.

  • Si es necesario notificar a la autoridad de control competente y a los interesados afectados, en su caso.

Desde Caberseg podemos ayudarle a implementar políticas de gestión y notificación de brechas de seguridad para garantizar que cumple con la normativa de protección de datos.

Contacta con Caberseg y te informamos de todo