En el presente artículo, vamos a analizar las principales novedades incluidas en la actualización de la Guía para la notificación de brechas de datos personales (en adelante, la Guía) que la Agencia Española de Protección de Datos (AEPD) publicaba el pasado mes de junio; detallaremos las principales novedades que trae consigo esta actualización, en comparación con las últimas guías de la Autoridad de control para la notificación de brechas de seguridad para, posteriormente, ofrecer algunas indicaciones prácticas de cómo debemos proceder para una adecuada gestión y notificación de una violación de seguridad.
Las novedades que presenta esta nueva versión de la Guía, en su mayoría, están encaminadas a facilitar una información más precisa sobre cuándo y cómo se ha de notificar una brecha de datos personales. Asimismo, se proporcionan los principales canales de comunicación, fomentando la relación por medios electrónicos con la Autoridad de control.
PRINCIPALES NOVEDADES
El motivo principal de la actualización de la Guía consiste en facilitar una información más específica sobre los procedimientos de notificación y una mayor concreción en cuanto a los plazos de notificación por parte de la Autoridad de control. El objetivo final es facilitar y agilizar el procedimiento de gestión y notificación de las brechas de seguridad por parte de los responsables y encargados del tratamiento.
- Información general
Se incluye información más específica para la gestión integral de una brecha de seguridad de datos personales de modo más eficaz y eficiente, con especial hincapié en unos plazos concretos para la notificación a la Autoridad y, en su caso, a los interesados afectados; los procedimientos obligatorios de gestión de la brecha de seguridad; y los canales de notificación ante la Autoridad competente. Además de mantener la definición de brecha de seguridad, en referencia a “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”, ahora también se especifica qué incidentes no se considerarán brecha de seguridad:
- no afectación a datos personales;
- no afectación al tratamiento realizado por el responsable/encargado; o
- tratamiento realizado en el ámbito doméstico.
2. Plazos y procedimiento
En este apartado es donde se han producido las principales novedades en comparación con la versión anterior. Se especifican cada uno de los pasos necesarios y los canales de notificación para efectuar la comunicación oficial.
Si bien se mantiene el plazo de 72 horas para notificar la brecha de datos personales que constituya un riesgo para los derechos y libertades de los interesados, en esta versión se incluye un listado de motivos de demora en la notificación en el plazo ordinario, que en cualquier caso deberán acompañarse de la oportuna justificación en el momento de la notificación, a saber:
a) el plazo de 72 horas expira fuera del horario de la jornada laboral, día inhábil o periodo de vacaciones;
b) incidencia técnica;
c) inicialmente no se consideró necesario notificar la brecha de seguridad;
d) demora en el proceso de gestión; o
e) interferencia en una investigación policial o judicial en curso.
Además, se establece un máximo de 30 días para modificar la notificación inicial, así como el plazo máximo de 30 días para confirmar la ejecución de una orden emitida por la AEPD.
INDICACIONES PRÁCTICAS
Se pueden notificar las brechas de seguridad a través de un enlace web directo al canal de notificación de brechas de seguridad de la AEPD: guiado-brechas-AEPD. Así, dando un paso más en el proceso de digitalización de la relación administrativa con la AEPD, para realizar estos trámites es necesario contar con un certificado electrónico reconocido (DNIe o certificado FNMT) o sistema Cl@ve permanente y PIN24H. En su defecto, se deberá adjuntar un documento acreditativo de la representación de conformidad con el Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
Además, esta versión 2021 recuerda cuáles son los factores a tener en cuenta para evaluar el riesgo de la brecha, a saber:
- Tipo de brecha de datos personales.
- Facilidad de identificar a los interesados afectados.
- Naturaleza de la brecha.
- Categorías especiales de datos personales.
- Volumen de datos afectados.
- Gravedad de los daños ocasionados.
- Características de la entidad responsable.
- Número de interesados afectados.
A este respecto, cabe destacar la remisión al Anexo B de las Directrices sobre la notificación de las violaciones de seguridad de los datos personales, del Grupo de Trabajo del Artículo 29 (actual Comité Europeo de Protección de Datos) WP250 y a las Directrices 01/2021 que incluyen ejemplos prácticos sobre como identificar si estamos ante una brecha de seguridad:
Así, no se valorará de igual manera el riesgo para los interesados tras haber sufrido un ataque informático de robo de información si se tienen implementados sistemas de encriptación de los archivos como si el responsable desconoce el número de personas afectadas cuyos datos personales se han extraviado o han sido robados y además se trata de categorías especiales de datos como datos de salud o de afiliación sindical.
En otro ejemplo, ante un supuesto de envío no deseado de datos personales por correo electrónico al total del listado de contactos profesionales de nuestra agenda, el riesgo disminuye si el archivo está cifrado o alojado en una carpeta protegida con contraseña.
Por último, tras el robo de información de un exempleado de la entidad, la respuesta será más rápida y eficaz si se lleva un registro y delimitación internos de los archivos a los que acceden nuestros empleados, de manera que tras esta pérdida de información es posible localizar la tipología y el volumen de los datos personales afectados, para poder implementar medidas correctoras más eficaces y ofrecer una información fidedigna ante un posible requerimiento por parte de la Agencia.
Como se aprecia, el principio de responsabilidad proactiva también se relaciona con la capacidad de demostrar ante una posible situación de emergencia, como es el caso de las brechas de seguridad, de que se dispone de la información precisa y actualizada para la correcta implementación de las salvaguardas ante una quiebra de la seguridad de los sistemas de información de la entidad. En esta línea, como novedad respecto a la versión anterior, se incluye un canal de denuncias por la vulneración de la normativa de protección de datos vigente a través de la Sede Electrónica de la AEPD (ver aquí).
3. Tras la notificación, ¿qué hacer?
Una vez efectuada la notificación a la Autoridad de control, la nueva versión de la Guía añade un epígrafe específico donde detalla las obligaciones del responsable, una vez emitida la notificación. Concretamente, se informa de que la AEPD remite sus notificaciones y comunicaciones electrónicas a través del servicio compartido de gestión de Notificaciones Notific@, que envía las notificaciones a los sistemas Carpeta Ciudadana y Dirección Electrónica Habilitada del Ministerio de Política Territorial y Función Pública. Se entenderá que la notificación ha sido rechazada cuando hayan transcurrido diez días desde su puesta a disposición sin que se acceda a su contenido.
Por último, tras notificar una brecha de seguridad de datos personales, el responsable/encargado de tratamiento puede recibir por parte de la AEPD diversas comunicaciones o notificaciones electrónicas, a saber:
- comunicación con el registro de la brecha de datos;
- requerimiento de información adicional; o
- notificación con una orden de comunicación a los afectados por riesgo elevado. En este último caso, el responsable de tratamiento dispondrá del plazo indicado en esa orden para confirmar a la Agencia su ejecución a través del registro electrónico. Con carácter general el plazo para la confirmación será de 30 días, aunque podría acortarse en función del nivel de riesgo para los afectados.
4. Comunicación a los afectados
En cuanto a la comunicación a los afectados, esta versión añade, junto a los supuestos regulados en la versión anterior conforme al art. 34 RGPD, la información relativa a los supuestos excluidos de la comunicación a los afectados. Concretamente, no será necesaria la comunicación a los afectados cuando:
a) el responsable ha tomado las medidas técnicas y organizativas adecuadas para evitar los riesgos y/o mitigar los daños; o
b) el responsable ha implementado, con posterioridad, las medidas de protección necesarias para mitigar total o parcialmente un daño en los derechos y libertades de los afectados.
Asimismo, se facilita un canal de información (Comunica-Brecha RGPD) para que el responsable pueda valorar la necesidad o no de comunicarse con los afectados atendiendo a la naturaleza del supuesto en particular, y cómo habrá de proceder en la notificación. Es importante que se tenga en cuenta que, una comunicación incompleta (sin el contenido mínimo), de difícil acceso o realizada a las personas incorrectas no resulta efectiva, por lo que una comunicación en estas condiciones podría llegar a considerarse una comunicación no realizada.
Al respecto del nivel de riesgo para los afectados, esta versión de la Guía proporciona, en sus anexos II y III, un cuadro informativo de nivelación de la severidad en función de la probabilidad de que se materialice el daño con consecuencias perjudiciales para los interesados afectados. A partir de este cuadro, es posible determinar la necesidad de comunicar el incidente de seguridad a los afectados, ofreciendo información precisa a los responsables para la toma de una decisión sobre la procedencia de la comunicación de la brecha. La Guía establece en esta versión que, cuando el responsable del tratamiento no haya tomado una decisión al respecto en el momento de notificar la brecha de datos personales a la AEPD, podrá también indicarlo. Esta opción únicamente es válida en el caso de nuevas notificaciones, cuando el responsable tenga previsto aportar notificaciones adicionales con posterioridad y todavía no se haya identificado el riesgo alto para los derechos de los interesados.
CONCLUSIONES
A partir de la actualización de la Guía por parte de la AEPD, el procedimiento de gestión de la brecha de datos personales ante la Agencia evidencia el claro compromiso de la Autoridad de control para con el principio de responsabilidad proactiva de los responsables del tratamiento. Así, se hace hincapié en el requerimiento por parte de la Autoridad de suficientes garantías de cumplimiento normativo por parte de los responsables y/o encargados implicados, a efectos de demostrar su grado de cumplimiento para con las obligaciones del responsable en el tratamiento de los datos personales y en la salvaguarda, en último lugar, de los derechos y libertades de los interesados.
Así, la AEPD ofrece información detallada, en un lenguaje claro y sencillo, sobre los plazos concretos que se deben cumplir para la comunicación de una brecha de seguridad, plazos que no aparecen del todo descritos en el RGPD; y, sobre todo, la explicación de cuáles son los canales de comunicación predeterminados para la relación electrónica con la Autoridad de control, así como los criterios a tener en cuenta a la hora de determinar la procedencia o no de la notificación de la brecha y, en su caso, la comunicación a los propios afectados.
Ante una brecha de seguridad, la claridad y la fluidez en la comunicación resultan cruciales entre las partes implicadas (responsable-encargado, p.e.) y la AEPD; por ello, la consolidación de un canal único y de fácil acceso para la comunicación por vía electrónica con la Agencia, viene a facilitar la gestión eficaz de una brecha de datos personales por parte de todo tipo de entidades, con independencia de su volumen de negocio y del sector empresarial.
