En el mundo digitalizado y conectado en el que convivimos, la protección de los datos de carácter personal se ha convertido en una cuestión crucial para las organizaciones y las personas. El aumento de los ciberataques, y la consiguiente exposición de los datos confidenciales, recalcan la necesidad de adoptar medidas para salvaguardar la privacidad y la seguridad de los datos.
Una brecha de seguridad de datos personales es un incidente que ocasiona la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable o encargado del tratamiento de datos, así como también la comunicación o acceso no autorizados a los mismos. Cuando se produce una brecha de seguridad, se generan una serie de efectos adversos susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, por lo que debe establecerse un plan de actuación que sea reactivo y preventivo, tal como dispone el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento y la libre circulación de datos personales (en adelante RGPD).
Acorde con lo anterior, el artículo 33 del RGPD impone a los responsables de tratamiento de datos la obligación de comunicar a la autoridad de control competente que se ha producido una brecha de datos personales, en el caso de que pueda suponer un riesgo para los derechos y libertades de las personas, y siempre que se cumplan una serie de requisitos. Asimismo, deberán comunicar que se ha producido la brecha a las personas afectadas cuando el riesgo sea alto, de conformidad con el artículo 34 del RGPD. Cabe destacar, que la valoración del riesgo deberá hacerla el responsable del tratamiento, y, en la notificación, deberá detallar las cuestiones más significativas de la brecha como, por ejemplo; la naturaleza de la vulneración, las posibles consecuencias e incluso describir las medidas o propuestas adoptadas para solucionar la brecha o mitigar los posibles efectos adversos.
Plazo para la notificación
Sobre la notificación en sí, debe de hacerse en el plazo de 72 horas desde que el responsable haya tenido conocimiento de que se ha producido la brecha, además, se prevé que, en caso de superar dicho plazo, el responsable deberá emitir un informe detallando las causas de la dilación. A propósito, el hecho de realizar la notificación no supone la comisión de ningún tipo de infracción administrativa, ni tampoco conlleva la presunción de que la organización no ha protegido adecuadamente los datos de carácter personal, todo lo contrario; el hecho de notificar una brecha de seguridad dentro del plazo legalmente establecido, es una prueba del nivel de diligencia de la organización. Sin embargo, sí que está tipificado como infracción administrativa el hecho de no realizar la notificación cuando se está obligado, y, en consecuencia, se procederá con la apertura del correspondiente procedimiento administrativo sancionador
En conclusión, aunque es difícil proteger los datos de carácter personal de las brechas de seguridad en el seno de las organizaciones, la notificación se ha configurado como el último elemento en la protección de la confidencialidad de los datos de carácter personal y una obligación para los responsables de tratamiento. De esta forma, se pueden mitigar los efectos adversos de las brechas de seguridad, y esto será posible, siempre y cuando el responsable cumpla con el plazo legalmente establecido y valore de forma objetiva y adecuada la brecha, así como sus consecuencias.
