La violación de seguridad en el GDPR
28/09/2016
24/09/2016 | FS Consultores SL | NEWS - GDPR
Violaciones de seguridad de los datos personales
Según la definición descrita en el artículo 4, apartado 12 del Reglamento, una violación de la seguridad de los datos personales es “
toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” que pueda producirse en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación o supresión de datos.
En el GDPR, las disposiciones referentes a las violaciones de seguridad están incluidas en el Capítulo IV (Responsable del tratamiento y encargado del tratamiento), dentro de la sección 2 (Seguridad de los datos personales), artículos 33 y 34, por lo que dicha normativa se deberá contemplar en la política de seguridad que implemente la organización para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento.
Tal como se indica en los Considerandos 85 a 88, el Responsable y el Encargado del tratamiento deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, como “
la pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física”.
También obliga al Responsable a notificar dichas violaciones a la Autoridad de control en un máximo de 72 horas e incluso comunicarlas a los interesados afectados si la incidencia se prevé que pueda entrañar un alto riesgo para sus derechos y libertades.
A tener en cuenta que el Reglamento dispone que las notificaciones (a la Autoridad de control) o las comunicaciones (al interesado) se deben realizar “
sin dilación indebida”, o sea tan rápida como sea posible, sobre todo para evitar nuevos riesgos o mitigar las consecuencias y efectos adversos que se hayan producido.
Notificación de una violación de datos a la Autoridad de control (artículo 33)
El Responsable del tratamiento deberá documentar cualquier violación de la seguridad de los datos personales producida bajo su responsabilidad y notificarla a la Autoridad de control, sin dilación indebida, a ser posible en un máximo de 72 horas desde que se haya tenido constancia de ella.
En el caso de notificarla a la Autoridad de control pasadas 72 horas desde que se haya tenido conocimiento, deberá acompañarse una justificación motivada.
Cuando la violación se haya producido bajo la responsabilidad del Encargado del tratamiento, éste lo notificará al Responsable del tratamiento sin dilación indebida.
No será necesario notificar una violación de datos a la Autoridad de control cuando sea improbable que la vulneración de los datos personales constituya un riesgo para los derechos y las libertades de los interesados. Esta improbabilidad debe basarse atendiendo al principio de responsabilidad proactiva descrito en el artículo 5 del GDPR que dice que hay que ser capaz de demostrar el cumplimiento de todos los principios del tratamiento: Licitud, Limitación de los fines, Minimización de las datos, Exactitud, Limitación del plazo de conservación, Integridad y Confidencialidad. Más información en:
Los principios del tratamiento en el GDPR
La notificación de una violación de datos deberá documentarse describiendo:
- La naturaleza y contexto de la violación.
- Los posibles efectos y consecuencias de la violación.
- Las medidas correctivas adoptadas o propuestas por el Responsable del tratamiento para remediar y mitigar los efectos ocasionados.
- Cuando sea posible:
- Las categorías y número de interesado afectados.
- Las categorías y número de registros afectados.
- Si es el caso, la identidad y los datos de contacto del DPO u otros contactos para obtener más información.
- Si no es posible facilitar toda la información en una comunicación, se notificará por etapas sin dilación indebida.
Comunicación de una violación de datos al interesado (artículo 34)
El Responsable del tratamiento comunicará una violación de datos al interesado, sin dilación indebida, cuando:
- Sea probable que presente un alto riesgo para los derechos y libertades del interesado.
- Le sea exigido por la Autoridad de control.
No será necesaria la comunicación de una violación de datos al interesado cuando el Responsable del tratamiento pueda demostrar:
- Que se han adoptado medidas técnicas y organizativas apropiadas de protección para hacer ininteligibles los datos a personas no autorizadas y que estas se han aplicado a los datos afectados.
- Que se han tomado medidas posteriores que garantizan que ya no sea probable un alto riesgo para los derechos y libertades del interesado.
- Que supusiera un esfuerzo desproporcionado. En este caso, se podrá optar por una comunicación pública que sea igualmente efectiva para informar al interesado.
La comunicación de una violación de datos al interesado será clara y contendrá:
- Una descripción de la naturaleza de la violación.
- Las posibles consecuencias de la violación.
- Las medidas correctivas adoptadas o propuestas por el Responsable del tratamiento para remediar y mitigar los efectos ocasionados.
- Si es el caso, la identidad y los datos de contacto del DPO u otros contactos para obtener más información.
Casos de violaciones de la seguridad de los datos
Se puede producir una violación de la seguridad cuando, por cualquier motivo, sea intencionado o no, se vulnere la seguridad de los datos o se prevea que pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
Los casos más comunes que pueden provocar una violación de datos son:
- Acceso a datos no autorizado:
- Encargo del tratamiento sin el contrato correspondiente.
- Acceso indiscriminado a impresoras, fotocopiadoras, etc.
- Acceso a información confidencial no autorizada: nóminas, currículums, embargos, videovigilancia, etc.
- Acceso no autorizado a los sistemas informáticos.
- Comunicación de datos no autorizada:
- Transmisión ilícita de datos a un Destinatario.
- Vulneración del secreto profesional.
- Publicación de imágenes sin autorización del interesado.
- Envío de correos electrónicos masivos sin ocultar los destinatarios (copia oculta).
- Transferencia internacional de datos sin estar sujeta a una Decisión de suficiencia de la UE o Garantías adecuadas de protección de datos.
- Alteración de datos:
- Modificación de datos malintencionado.
- Falsificación de datos.
- Recuperación ineficaz de copias de respaldo.
- Pérdida de información:
- Extravío u olvido de soportes.
- Robo o sustracción de información.
- Desinstalación de aplicaciones informáticas.
- Por causas del transporte.
- Reorganización de la empresa.
- Destrucción de datos:
- No usar destructora de papel o de soportes digitales.
- Incendio, inundación u otras causas ajenas a la empresa.
- En cualquiera de los casos nombrados anteriormente, se pueden producir violaciones de datos por la ausencia de medidas de seguridad:
- Antivirus, antispam, antimalware, antiransomware, fireware, cifrado, seudonimización, etc.
- Identificación y autentificación para acceder a los sistemas informáticos.
- Mecanismos de seguridad para acceder al mobiliario o a departamentos con datos personales.
- Disposición de datos a la vista de personas no autorizadas (recepción, monitores, mesas, etc.)
Qué dice el GDPR
Considerando 85
Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.
Considerando 86
El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.
Considerando 87
Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.
Considerando 88
Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violación, inclusive si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizar innecesariamente la investigación de las circunstancias de una violación de la seguridad de los datos personales.
Josep Aragonés Salvat