Durante el apagón las empresas han sufrido la interrupción en sus operaciones, con la caída de sus sistemas de información, comunicaciones, bases de datos, y servicios en general, durante varias horas.
Ante esta situación, podemos preguntarnos si este incidente supone una violación de seguridad de los datos personales, que debamos notificar a la autoridad de control (AEPD u otras autoridades de protección de datos autonómicas).
1. Pues bien, el RGPD define “violación de la seguridad de los datos personales” como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Por otro lado, los incidentes sin afectación a datos personales no están dentro del ámbito del RGPD, si bien pueden ser notificables a otras autoridades en base a otras normativas, en particular, de ciberseguridad, por ejemplo, conforme al Esquema Nacional de Seguridad o conforme a la Directiva NIS 2.
2. Las directrices del Grupo del Artículo 29 (ahora Comité Europeo de Protección de Datos) sobre la notificación de las violaciones de la seguridad establecen que la falta de disponibilidad de los datos que, “un incidente de seguridad que provoque la no disponibilidad de los datos personales durante un período de tiempo es también un tipo de violación, ya que la ausencia de acceso a los datos puede tener un impacto significativo en los derechos y las libertades de las personas físicas.
3. Determinado que los incidentes por falta de disponibilidad, con afectación a datos personales, son potencialmente notificables a las autoridades de protección de datos, se tiene que señalar que debe existir un segundo elemento, y es que, debido a esta falta disponibilidad, se produzca cierta probabilidad, no necesariamente alta, de “un riesgo para los derechos y las libertades de las personas físicas”.
A efectos ilustrativos sobre este “riesgo para los derechos y las libertades de las personas físicas” la guía recoge varios ejemplos:
| Núm. | Descripción | ¿Se debe notificar? |
| Ejemplo 1 | Un breve fallo de alimentación que dura varios minutos en el centro de llamadas de un responsable del tratamiento, por lo que los clientes no pueden llamarle y acceder a sus registros | NO |
| Ejemplo 2 | En el contexto de un hospital, la no disponibilidad de los datos médicos críticos sobre los pacientes, aunque sea temporalmente, podría constituir un riesgo para los derechos y las libertades de las personas; por ejemplo, se pueden cancelar operaciones y ponerse en peligro vidas humanas. | SÍ |
| Ejemplo 3 | Los sistemas de una empresa de medios de comunicación no estén disponibles durante varias horas (por ejemplo, debido a un fallo de alimentación), y dicha empresa no pueda enviar boletines informativos a sus suscriptores es poco probable que suponga un riesgo para los derechos y las libertades de las personas | NO |
| Ejemplo 4 | Pérdida de disponibilidad de los sistemas de un responsable del tratamiento solo temporal y que no repercute en las personas | NO |
4. Como conclusión de lo anterior, la caída de los servicios de una empresa, derivados del “apagón”, de forma “accidental”, incluso “causa mayor”, deberán notificarse a la AEPD siempre que afecten a datos personales y supongan un riesgo para los derechos y libertades de las personas afectadas.
5. Para obtener una noción del riesgo de forma objetiva, puede ser útil el criterio plasmado en la guía del Guía 803 Centro Criptológico Nacional, que establece las siguientes casuísticas para sistemas de información, en función de lo crítica que es la disponibilidad de sus sistemas:
- Criticidad escasa, cuando es aceptable que la restauración de la disponibilidad puede realizarse en un plazo superior a 5 días
- Criticidad baja, cuando la restauración de la disponibilidad deba realizarse en un plazo de entre 1 y 5 días.
- Criticidad media, cuando la restauración de la disponibilidad deba realizarse en un plazo máximo de 1 día.
- Criticidad alta, cuando la restauración de la disponibilidad deba realizarse en un plazo máximo de 4 horas.
6. Asimismo las autoridades europeas han establecido en la Directiva NIS 2 la existencia de ciertos organismos y empresas como “esenciales” o “importantes”.
- Entidades esenciales: son aquellas cuya interrupción tendría un impacto significativo en servicios críticos para la sociedad o la economía, incluyendo: energía, transporte, banca, mercados financieros, hospitales, clínicas y laboratorios médicos, abastecimiento y distribución de agua potable, infraestructuras digitales, administración pública
- Entidades importantes: servicios postales y de mensajería, gestión de residuos, productos químicos, producción, procesamiento y distribución de alimentos, fabricación, plataformas en línea, motores de búsqueda, servicios de redes sociales, investigación e instituciones y centros que trabajan en sectores clave, organizaciones con más de 250 empleados o un volumen de negocios anual superior a 50 millones de euros y un balance general superior a 43 millones
7. En base a los puntos anteriores, vinculando de forma general, a las entidades esenciales, una “criticidad alta” y a las importantes, una “criticidad media”, serían notificables las siguientes situaciones:
- Servicios de transporte, de banca o financieros interrumpidos más de 4 horas.
- Clínicas, hospitales y laboratorios médicos que hayan interrumpido su actividad sanitaria básica por más de 4 horas
- Sedes electrónicas de las AAPP caídas más de 4 horas.
- Plataformas en línea, buscadores y redes sociales, con caídas de más de 24 horas.
- Procesamiento y distribución de alimentos, con interrupción de más de 24 horas
- Grandes organizaciones de servicios con más de 250 trabajadores (ejemplo, cadenas hoteleras) que no pudieran reanudar sus servicios (PMS, sistemas de reservas) dentro de 24 horas
