Cumpliendo con su labor de mejorar la información en materia de protección de datos, desde el pasado mes de mayo la Agencia Española de Protección de Datos tiene a tu disposición la actualización de la guía para la notificación de brechas de datos personales. El documento original se publicó en 2018 y con la nueva versión se busca adaptar la forma de actuación de los implicados en la protección efectiva de datos a los criterios establecidos por el Comité Europeo de Protección de Datos.
Las brechas de datos personales siguen al alza
Uno de los objetivos del RGPD era reducir los efectos perniciosos de las vulneraciones de datos personales estableciendo para los responsables del tratamiento la obligación de comunicar las brechas de seguridad en un plazo no mayor de 72 horas una vez conocida la incidencia.
Ataques externos, como los llevados a cabo a través de ransomware, suponen una grave amenaza para los datos de carácter personal porque son muy eficaces. Por suerte, el sistema de comunicación está resultando efectivo a la hora de paliar sus efectos. Prueba de ello es que, en lo que llevamos de 2021, se han comunicado ya a la AEPD más de 700 brechas de datos.
Novedades de la guía para la notificación a la AEPD de vulneraciones de datos
El objetivo al actualizar este documento ha sido mejorar el conocimiento que los responsables del tratamiento de datos deben tener sobre qué es una brecha y cómo hay que comunicarla con la intención final de conseguir una protección todavía más efectiva de los derechos y libertades de los afectados.
Notificación a la Autoridad de Control
Si has ejercido como responsable responsable del tratamiento de datos o conoces el trabajo de estos profesionales, ya sabes que el número de brechas que se producen puede llegar a ser muy alto. No todas deben comunicarse a la Autoridad de Control y a los afectados, solo aquellas que de verdad supongan un riesgo para los derechos y libertades de los titulares de los datos.
El documento es claro a la hora de establecer los parámetros para evaluar el riesgo:
- Tipo de brecha que se ha producido.
- Naturaleza, volumen y carácter sensible o no de los datos afectados.
- Facilidad de identificación de las personas afectadas.
- Gravedad de los efectos producidos por la violación.
- Número de personas afectadas.
- Características personales del responsable del tratamiento.
- Consideraciones generales.
Para una mejor comprensión de este tema, el documento incluye un anexo y remite a las Directrices 01/2021, que incluyen numerosos ejemplos de casos en los que se debe notificar la brecha.
Notificación a los afectados
Otra de las novedades es que el documento se complementa con la herramienta “Comunica-Brecha RGPD” que ofrece ayuda para que los responsables del tratamiento valoren si deben avisar o no a los titulares de los datos de la vulneración producida.
Sanciones por incumplir la obligación de notificar la brecha
Si revisas el documento verás que hacia el final del mismo se dedica un apartado bastante extenso a explicar el régimen sancionador.
Si una brecha tiene la suficiente entidad como para que surja la obligación de comunicarla a la Autoridad de Control competente y no se hace, pueden imponerse multas de hasta 20 millones de euros o equivalentes al 4 % de volumen del negocio de la empresa.
Esta guía quiere dejar todavía más claras las obligaciones que recaen sobre los responsables del tratamiento de datos en cuanto a notificación de posibles brechas y las sanciones que se pueden imponer en caso de incumplimiento de esas obligaciones. Todo ello a fin de mejorar la actuación de los responsables y evitar que las vulneraciones de datos causen daños graves a los afectados.