Cuándo debe comunicar una empresa a los afectados una brecha de seguridad

Felipe Herrera

Felipe Herrera

El Reglamento General de Protección de Datos (en adelante RGPD) define, de un modo amplio, las “brechas de datos personales” o “brechas de seguridad” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Es decir, una brecha de seguridad es una violación de la seguridad, voluntaria o accidental, que conlleva como consecuencia la pérdida, destrucción, manipulación o acceso no autorizado de los datos personales almacenados en el soporte atacado. Las formas en las que se pueden producir estas brechas de seguridad son numerosas, especialmente en el entorno digital y van desde una modificación no autorizada de la base de datos, la destrucción de copias de seguridad, hasta ciberataques de diferentes tipos cuyo objetivo sea acceder a los datos personales almacenados por la empresa.

Asimismo, según los últimos informes publicados por la Agencia Española de Protección de Datos sobre “Notificaciones de Brechas de Datos Personales” las brechas que más se repiten con aquellas que afectan a la confidencialidad de los datos debido a vulnerabilidades por falta de actualización del software y los servidores VPN, por ciberataques ransomware o ataques de phishing.

Por otro lado, no tendrán la consideración de brecha de seguridad aquellos incidentes que:

  • No afecten a datos personales, es decir, a datos que no sean de personas físicas identificadas o identificables.
  • No afecten a tratamientos de datos personales llevados a cabo por un responsable (por ejemplo, la empresa) o un encargado (como proveedores que accedan a datos personales de la empresa para prestar sus servicios).
  • Ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico o personal.

Como vemos, no todos los incidentes de seguridad son necesariamente brechas de datos personales. Por ejemplo, el mero hecho de recibir correos electrónicos con malware o sospechosos de malware sin haberlo ejecutado, detectar un sistema infectado con un virus, o sufrir un intento de ciberataque sin que se llegue a materializar, no puede ser considerado en sí mismo como una brecha de seguridad cuando no produzcan consecuencias sobre los derechos y libertades de las personas (sí pueden suponer otros perjuicios para la empresa).

Dicho esto, ¿cuándo debe comunicar una empresa a los afectados la brecha de seguridad? En primer lugar, podemos identificar a los interesados afectados como aquellas personas físicas cuyos datos personales se han visto afectados por una brecha de seguridad y, a su vez, se ha comprometido la confidencialidad, integridad y/o disponibilidad de los mismos, pudiendo sufrir estos las consecuencias.

El artículo 34 del RGPD dispone que cuando sea probable que la brecha de seguridad de datos personales entrañe un alto riesgo para los derechos y libertades de las personas afectadas, el responsable del tratamiento (la empresa) lo comunicará a los afectados sin dilación indebida. Esto significa que la empresa, en el momento en que tenga constancia de su existencia, deberá valorar el riesgo para las personas afectadas y determinar la necesidad de comunicación.

Por tanto, tan pronto como la empresa tenga constancia de la brecha de datos personales deberá valorar el riesgo para las personas afectadas y determinar la necesidad de comunicar la brecha a los afectados. En caso de que el riesgo se determine como alto, la comunicación a los afectados deberá realizarse a la mayor brevedad posible.

En algunos casos será obvio que, debido a la naturaleza de la brecha de seguridad y a la gravedad del riesgo, la empresa deberá notificarlo sin dilación indebida a las personas afectadas. Por ejemplo, si existe una amenaza inmediata de usurpación de identidad, o si se revelan en línea categorías especiales de datos personales (por aquí dejo un modelo de comunicación de la brecha a los afectados).

Aun así, el RGPD no establece un plazo concreto para la comunicación a los afectados, pero sí indica que deberá realizarse sin dilación indebida. Cualquier dilación en la comunicación a los afectados le resta efectividad, por lo que una comunicación a destiempo puede llegar a tener el mismo efecto que una comunicación no ejecutada. Por tanto, todo retraso en la comunicación inmediata a los interesados, cuando esta sea necesaria, ha de justificarse.

Con todo, ¿qué factores debe tener en cuenta la empresa a la hora de decidir si dicha comunicación debe efectuarse?

  • Cuáles son las obligaciones legales y contractuales.
  • Qué riesgos comporta para los derechos y libertades de las personas la pérdida de confidencialidad, integridad o disponibilidad de sus datos personales, de los servicios asociados a los mismos y el compromiso de la identidad o identificación de los interesados, de manera concreta: los perjuicios a sus derechos fundamentales, daños físicos, daños reputacionales, fraudes, entre otros.
  • Hasta qué punto los daños producidos serán irreversibles, se puede evitar o mitigar los daños inmediatos y los posibles perjuicios posteriores.

En la misma línea, no será necesaria esta comunicación de la brecha de seguridad cuando:

  • La empresa disponga de medidas técnicas y organizativas que sean adecuadas y que eviten los riesgos anteriores, minimizando daños a los derechos y libertades y/o los hacen reversibles.
  • La empresa, con posterioridad a la brecha de seguridad, haya tomado las medidas de protección que mitiguen total o parcialmente el posible impacto para los afectados y garanticen que ya no hay posibilidad de que el alto riesgo para sus derechos y libertades se materialice. Por ejemplo, mediante la identificación y puesta en marcha inmediatamente de medidas como la revocación, cancelación o bloqueo de credenciales de acceso o certificados digitales comprometidos, o mediante el restablecimiento de los servicios y copias de seguridad de los datos, de forma que no puedan comprometerse otros datos personales.

Por último, de acuerdo con el artículo 83 del RGPD, si la empresa cuando tenga constancia de la brecha de seguridad, no lo comunica al afectado, previa valoración del riesgo que supone para las personas, determinando la necesidad de realizar dicha comunicación, estaría incurriendo en una infracción de la normativa de protección de datos que se sancionará, de acuerdo con el apartado 2 del artículo 83, con multas administrativas de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Recuerda que, si necesitas ayuda legal, puedes ponerte en contacto con nuestros especialistas en Protección de Datos en www.terminosycondiciones.es o a través de nuestros canales de contacto: felipe@terminosycondiciones.com - 601 32 77 00.