Las brechas de seguridad son cada vez más frecuentes y uno de los principales temas a tratar por parte de las consultorías en materia de protección de datos. En los últimos meses los ciberataques han ido en aumento tanto en el sector público como en el privado debido. No hay más que ver algunos episodios ocurridos este mes de enero. Probablemente se deba a un mayor uso de las nuevas tecnologías (fomentadas, en parte, por necesidades derivadas de la pandemia).
CASO SEPE
Tenemos como ejemplo más reciente el caso de hackeo del Servicio Público de Empelo Estatal (SEPE), del cual todavía no tenemos datos claros acerca de sus consecuencias y nivel de alcance.
El caso del SEPE tiene un alto nivel de impacto en muchos ámbitos: impacto económico (pérdida de una ingente cantidad de dinero), impacto personal (en despidos de directivos y empleados), e impacto reputacional, entre otros. En estos casos, la normativa de protección de datos impone tanto obligaciones que han de respetar los responsables del tratamiento de datos como infracciones en las que pueden incurrir.
Ante una violación de seguridad, la notificación es la prioridad máxima
En caso de que la empresa sufra una brecha en la seguridad de sus datos personales, el responsable tiene la obligación de notificarlo a la autoridad de control (en España, la AEPD) lo más pronto posible. El Reglamento General de Protección de Datos (RGPD) establece un plazo máximo de 72 horas desde que el responsable haya tenido constancia de ello (art. 33).
La normativa establece también la obligación de que el responsable, en caso de superar dicho plazo, argumente el por qué de esa tardanza. No obstante, cabe destacar que no será necesario ningún tipo de notificación en caso de que los ciberataques no supongan un riesgo para los derechos y libertades de la persona afectada.
Además de la autoridad de control, el responsable del tratamiento tiene la responsabilidad y obligación legal (art. 34 RGPD) de notificar al interesado afectado cuando exista la posibilidad de que la violación de seguridad implique un riesgo alto para los derechos y libertades de esa persona.
La notificación al interesado debe usar un lenguaje claro y sencillo para describir la naturaleza del ataque informático sufrido, así como otros datos (nombre y datos de contacto del Delegado de Protección de Datos, las consecuencias de la violación de seguridad y las medidas adoptadas o propuestas por el responsable para intentar arreglar el problema de seguridad).
Sanciones derivadas de una violación de seguridad
Ante un ciberataque se le impone a los responsables del tratamiento de datos una serie de obligaciones que han de cumplir. En caso de no cumplirlas de forma diligente y sin aparente motivación, podrán incurrir en diversas infracciones que la autoridad de control (AEPD) graduará, en función de las atenuantes o agravantes que dispone el RGPD (art. 83.2).
En el caso de una violación de seguridad, la Ley Orgánica de Protección de Datos (LOPD) determinará que la falta de notificación del responsable puede llegar a ser una infracción grave, ya sea a la autoridad de control como al interesado (arts.73.r y 73.s, respectivamente).
Como has comprobado, para salvarguardar los derechos y libertades de una persona física en caso de brechas de seguridad y ciberataques, es fundamental el trabajo de empresas de protección de datos. Es muy importante la existencia de organismos o figuras (como el DPD, Delegado de Protección de Datos) que asuman la responsabilidad y sepan solventar todos los retos y amenazas que asedian en las empresas en una actualidad cada vez más informatizada y automatizada. Por eso, la importancia de normativas como el Reglamento General de Protección de Datos es ahora mayor que nunca.
