Solicite un presupuesto
Elaboraremos una propuesta adecuada a sus necesidades
SOLICITAR SOLICITAR

INCIDENCIAS Y VIOLACIONES DE SEGURIDAD: EL ANTES Y EL DESPUÉS DE LOS EVENTOS DE SEGURIDAD

 In Notícias

Un caso más. El silencio mediático desplegado por parte de la corporación UBER ante el hackeo masivo sufrido hace un año y revelado recientemente, se viene a sumar a célebres y similares supuestos previos (Yahoo, Sony…).

Se estima que se han visto afectados, al menos, datos de 57 millones de usuarios y de más de 600.000 conductores del popular servicio de movilidad.

En este incidente concreto, con una circunstancia agravante añadida a la ocultación de la información: se ha procedido al pago a los ciberdelincuentes para que eliminasen la información que había sido sustraída por su parte.

Al respecto, hasta ahora nuestro concepto de incidencia en el campo de la normativa de protección de datos  se circunscribía a la definición recogida en el art.  5.2 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal  (RLOPD) que indicaba lo siguiente:

Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Entendiéndose por anomalía, según la RAE, en su acepción más empleada un defecto de forma o de funcionamiento.

Pues bien, así las cosas, el art. 90 del mismo cuerpo normativo citado nos indicaba que debía contarse con un Registro de Incidencias, en los siguientes extremos:

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Y que, dependiendo del nivel de seguridad que fuese preceptivo aplicar, debería completarse con los siguientes extremos (art. 100 RLOPD):

En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

Sin embargo, este escenario resulta obsoleto, en comparación con el establecido por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos -RGPD). Las tendencias renovadoras ya pueden apreciarse en el mero cambio de concepto, ya que lo que se consideraba incidencia, pasa a denominarse violación de seguridad de los datos personales, que se define en el art. Art. 4.12) del RGPD como:

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Como se puede apreciar, se ha llevado la definición a un ámbito de concreción, que delimita más detalladamente que se deberá entender por ese hecho que pone en riesgo los datos de carácter personal y que desencadenará en las actuaciones pertinentes para solventarlo debidamente.

A su vez, el cambio de enfoque sobre qué hacer ante este tipo de circunstancias es radical: de una postura pasiva (no olvidemos, cumplimentar simple y debidamente un registro con cierta información), se ha pasado a una totalmente proactiva, que implica una necesidad de comunicación a la autoridad de control competente, salvo que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Y ello, ya que se requiere, según indica la propia AEPD en su Guía del Reglamento para Responsables (ver también arts. 33 y 34 RGPD):

  • Que a notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
  • La notificación ha de incluir un contenido mínimo: la naturaleza de la violación, categorías de datos y de interesados afectados medidas adoptadas por el responsable para solventar la quiebra si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.
  • Los responsables deben documentar todas las violaciones de seguridad.
  • En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
  • El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible.
  • El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

Asimismo, se puede considerar que existe dicha violación cuando se tenga certeza de que se ha producido y de la naturaleza de la misma y su alcance. Cuando sólo exista una mera sospecha, sin que queden debidamente definidos los extremos indicados con anterioridad, no deberá producirse la notificación, hasta que se verifique como cierta la misma.

Por supuesto, se plantean interrogantes al respecto. Quizá los más destacados, entre otros que puedan surgir, sean:

  • ¿Cómo y cuándo se articulará el canal o mecanismo de comunicación del responsable (o encargado) a la autoridad de control competente?
  • ¿Cómo deberá llevarse a cabo el registro de las incidencias? El RGPD se limita a indicar que dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo, sin especificar el formato o, en su caso, el criterio de normalización de gestión documental que se deba seguir al efecto.
  • En aquellos casos en los que no se especifica el plazo de 72 horas, en relación al concepto de sin dilación indebida, ¿se deberá adoptar el mismo, como referencia, o ya que no se hace mención expresa, pudiera ser otro, siempre que se justifique?

 

Stéfanos Altidis Cabrejas

Socio GRC

Recent Posts