Guía para la notificación de brechas de datos personales
Una brecha de datos personales es un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.
Las brechas de seguridad constituyen uno de los temas sobre los que recibimos un mayor número de consultas en el departamento de protección de datos de ESCURA.
Son innumerables las causas por las que podemos tener una brecha en nuestra información de datos personales, y la reacción de los responsables debe de ser eficiente y conforme a Ley. Pero no siempre es fácil y los responsables saben cómo proceder.
Precisamente como no es un tema sencillo, la Agencia Española de Protección de Datos (AEPD) ha confeccionado y publicado una guía para facilitar la gestión de las brechas.
Consideramos de interés general dar a conocer la Guía para la notificación de brechas de datos personales.
Debemos e tener en cuenta, que las brechas de seguridad, no gestionadas conforme establece la ley puede ser causa de importantes sanciones económicas.
El Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos establece en su artículo 33 la obligación de notificar las brechas de los datos personales que puedan suponer un riesgo para los derechos y libertades de las personas físicas a la Autoridad de Control competente.
En el caso de España, la Autoridad de Control a la que hay que notificar es la Agencia Española de Protección de Datos (AEPD), tanto para el sector privado como para el público, excepción de los organismos públicos de las Comunidades Autónomas donde exista Autoridad de Control Autonómica.
Así mismo, en el artículo 34 del RGPD se establece la obligación del responsable de comunicar las brechas de datos personales a los afectados, personas físicas, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.
Las notificaciones de brechas de datos personales ante la Autoridad de Control es parte de la responsabilidad proactiva de los responsables, o encargados en su caso, demostrando diligencia en los tratamientos de datos.
La notificación de brecha no implica la imposición de una sanción. Al contrario, una notificación, y en su caso comunicación, realizada en tiempo y forma, es una evidencia de la diligencia de la organización a la hora de ejecutar eficazmente la obligación de responsabilidad proactiva del RGPD. Sin embargo, el no cumplir con las obligaciones de notificación y comunicación a los interesados sí está tipificado como infracción.
El artículo 83 del RGPD prevé multas administrativas de hasta 10.000.000 € o hasta el 2% del volumen de negocio total global anual del ejercicio financiero anterior para responsables y encargados para las infracciones de las obligaciones establecidas, entre otros, en los artículos 32 (Seguridad del tratamiento), 33 (Notificación a la Autoridad de Control) y 34 (Comunicación al interesado) del RGPD. Asimismo, el incumplimiento de las resoluciones de la Autoridad de Control en virtud del artículo 58 del RGPD como lo es una orden para comunicar una brecha de datos personales a los interesados, puede comportar sanciones de hasta 20.000.000 € o hasta el 4% del volumen de negocio total global anual del ejercicio financiero anterior.
Puede acceder a la guía en el siguiente enlace: Consulta
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.