El Reglamento Europeo de Protección de Datos paso a paso V: Brechas de seguridad

por

publicado el 2 junio 2016

Categorías: Abogado / Abogados / Abogados LOPD / Derechos Fundamentales / LOPD / Normativa / Privacidad / Protección de Datos / Tecnología

El Reglamento Europeo de Protección de Datos paso a paso V: Brechas de seguridad. Continuamos poco a poco con la serie de entradas para analizar el Reglamento Europeo de Protección de Datos, en las anteriores entradas hablamos sobre el responsable y el encargado de tratamiento, la privacidad de datos desde el diseño y por defecto, los derechos a la limitación del tratamiento y a la portabilidad de los datos, los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido. En este post comenzaremos a abordar quizá los puntos más novedosos que trae el nuevo reglamento de protección de datos y que tiene que ver con una preocupación actual de la sociedad y, por supuesto de las empresas e instituciones, como es la seguridad de los datos, cómo protegerlos, etc. No hay día que no salten a las noticias «hackeos», accesos no consentidos, publicación de información personal o compraventa en mercado negro de información personal. Por ello, el legislador ha dado mucha importancia a la seguridad, regulando la misma, incluyendo notificaciones de seguridad tanto a los interesados como a las autoridades de control y como veremos en entradas posteriores introduciendo la figura del delegado en protección de datos en la empresa, la evaluaciónd e impacto, etc.

Además, no son en nada desdeñables las posibles multas por la infracción de las empresas en materia de seguridad. El reglamento establece que las infracciones de las disposiciones de los artículo 25 a 39, donde se encuentra regulado la seguridad de los datos, entre otros temas, se sancionarán con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Pero ¿qué medidas de seguridad de los datos establece el reglamento?

Es responsabilidad del, valga la reiteración, del responsable o del encargado valorar cuales son las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, pero, sí que el Reglamento propone una serie de medidas que como mínimo puedan incluir entre otros:

  • La seudonimización y el cifrado de datos personales
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

y ¿qué sucede si ha habido una violación o brecha de seguridad de los datos personales?

El Reglamento obliga a las empresas que hayan sufrido una agujero o brecha de seguridad a notificarlo en un plazo máximo de 72 horas a las autoridades de control correspondientes. Si transcurrido este plazo no lo ha notificado, deberá incluir en su notificación las causas de la dilación en la misma. La notificación a las autoridades de control deberá basicamente determinar claramente qué es lo que ha pasado, número de afectados, gravedad de la brecha y medidas que se hayan adoptado o se pretendan adoptar. Además se incluye una obligación incluso de notificar a los afectados si la brecha de seguridad puede afectar o conlleva un alto riesgo en los derechos y libertades de éstos. Por supuesto, la notificación a los interesados se deberá realizar en un lenguaje claro y sencillo. En todo caso no será necesaria la notificación al interesado o se podrá optar por una comunicación pública si supone un esfuerzo desproporcionado llegar a todos los interesados, o se han tomado medidas que hagan inteligibles el acceso a los datos expuestos por el agujero de seguridad.

Aunque las multas parecen cuantiosas veremos realmente la eficacia de estas medidas y si las empresas optan por comunicar los agujeros de seguridad o prefieren jugar al escondite con las mismas. En aras a la transparencia y la confianza de los usuarios/as, las empresas debieran optar por cumplir con estas exigencias que, si bie, pueden resultar ser un perjuicio a su reputación, se podrán ver recompensadas por la seriedad de sus comportamientos.