Garantizar la seguridad de los datos personales que se encuentran en la esfera de control de nuestra empresa o actividad profesional es uno de los pilares de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de los Datos Personales y garantía de los derechos digitales (LOPD GDD). Dicha ley, es la transposición al ordenamiento jurídico español del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) que deroga la anterior LOPD (la antigua Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales).
La nueva ley de protección de datos obliga a todas las empresas, organizaciones y a los profesionales a establecer en su actividad, entre otras muchas cosas, las medidas técnicas y organizativas necesarias para evitar las ‘brechas de seguridad de los datos’.
Pero…, ¿Qué es una brecha de seguridad de los datos?
Según la definición establecida por el RGPD, una brecha de seguridad puede ser cualquier incidencia que resulte en la destrucción, pérdida o alteración accidental o ilícita de datos personales; la transmisión, conservación o el tratamiento erróneo de los mismos y/o la comunicación o acceso a los datos de forma indebida.
Sufriremos una brecha de seguridad, por ejemplo, si nos roban un dispositivo de la empresa (tal como un Smartphone, un portátil o una Tablet) que contenga datos personales o que permita acceder a ellos mediante conexión remota. También sufriremos una brecha de seguridad, por poner otro ejemplo, si un miembro de nuestra organización accede a datos personales de forma no autorizada. El borrado accidental de archivos que contengan datos personales, también constituye brecha de seguridad.
Así mismo, la fuga de información por ciberataque es brecha; el extravío de documentación con información sensible también; y podríamos seguir largo y tendido con la ejemplificación de supuestos de brecha. La casuística es muy extensa y las brechas de seguridad son frecuentes y comunes.
Ahora bien, no todas las brechas de seguridad de los datos tienen la misma entidad. Las hay de escasa importancia. Pero en el supuesto de brechas que pudieren afectar a los derechos y libertades de las personas interesadas, se deben comunicar a la autoridad competente dentro del plazo establecido para ello (en las 72 horas inmediatamente posteriores a la brecha). Notificaremos a la Agencia Española de Protección de Datos o, en su caso, a la agencia autonómica. Adicionalmente, en los supuestos de brecha en los que exista riesgo elevado para los interesados, deberemos notificar sin dilación a las personas afectadas, siempre y en todo caso.
Si el responsable de los datos puede probar, en atención al principio de responsabilidad proactiva, que la brecha de seguridad no supone riesgo para los derechos y libertades de los afectados, una vez analizados subjetivamente los supuestos y determinado el riesgo, podrá quedar exento del deber de comunicar la violación de seguridad sufrida.
Por todo lo anterior, es preciso saber cómo determinar de forma muy concreta el alcance de las brechas de seguridad de los datos que nos afecten. Es importante disponer de las herramientas y protocolos pertinentes para no agravar una situación que, de por sí, ya supone un elevadísimo riego de recibir sanción. A saber, las sanciones de la AEPD pueden alcanzar cifras estratosféricas, del orden de 20 millones de euros o un 4% de la facturación anual del ejercicio anterior, aplicando siempre la cantidad que resulte más elevada (art. 83 RGPD).
La gestión empresarial de la Protección de Datos debe atenderse como lo que es: una prioridad absoluta.
¿Cómo debemos gestionar la brechas de seguridad de los datos?
En primer lugar, deberemos determinar la magnitud de la brecha: su peligrosidad, el nivel de impacto potencial sobre los afectados y clasificar el incidente. Para poder realizar todo lo anterior, recurriremos al análisis de riesgos o a la evaluación de impacto. Estudios que nuestro equipo de Protección de Datos habrá llevado a cabo con anterioridad y que mantendremos debidamente actualizado.
En esta dirección, podemos establecer tres fases principales en la gestión de una eventual brecha de seguridad:
- fase de preparación
- fase de identificación
- fase de actuación
En cuanto a la fase de preparación, es obvio que debemos haber implementado las medidas técnicas y organizativas necesarias para adaptarnos a la normativa vigente. Tendremos al día nuestros análisis de riesgos o evaluaciones de impacto (en caso de que estemos obligados a ello. No siempre será requisito legal disponer de una evaluación de impacto de nuestra actividad profesional). Deberemos disponer de un plan de contingencia perfectamente definido.
Evitaremos a toda costa actuar de forma reactiva. Es fundamental mantener la adaptación al RGPD siempre actualizada.
A colación de lo anterior, vale advertir que la normativa es clara: la protección de datos debe implementarse por defecto y desde el diseño inicial del ejercicio de nuestra actividad. Y, atención: esta obligación normativa afecta a autónomos y a pequeñas empresas al igual que a las grandes corporaciones, entidades, asociaciones, colegios, clínicas, etc. Toda actividad profesional debe estar adaptada a la normativa en esta materia antes de operar en el tráfico jurídico, bajo riesgo de sanción.
Una vez en condiciones de superar una brecha de seguridad de los datos, prestaremos atención a la detección de incidentes que, a menudo, pasan desapercibidos. Operaremos en nuestra actividad prestando atención diligente a todo incidente relacionado con los datos personales que están en nuestra esfera de control. Concretamente, en esta segunda fase, la fase de detección, deberemos analizar las situaciones que potencialmente pueden provocar una brecha de seguridad. Mantendremos los mecanismos de detección siempre en alerta y analizaremos la información obtenida de nuestro sistema de prevención regularmente y sin abandono.
Detectado un incidente de seguridad, deberemos considerar los siguientes factores en aras de clasificar la amenaza que supone nuestra potencial brecha para las personas afectadas:
- El tipo de amenaza y riego. Mediante la descripción del incidente, en base a la información que dispongamos, podremos determinar la amenaza.
- El origen de la brecha. Determinación de si procede de un factor interno a nuestra organización o si, por el contrario, procede de una fuente externa como podría ser un proveedor o colaborador.
- La categoría de datos y sistemas afectados.
- El perfil del usuario afectado por nuestra brecha.
- La cantidad de sistemas afectados.
- El impacto que tiene el incidente en nuestra empresa y en los derechos y libertades de las personas afectadas.
- Los requerimientos legales.
- El medio por el que se ha producido la brecha de seguridad. Categorizar los datos y sistemas de seguridad afectados.
Una vez dispongamos de una imagen clara de la situación, estaremos en condiciones de clasificar la brecha de seguridad según si estamos ante una brecha de confidencialidad, una brecha de integridad o una brecha de disponibilidad. Este punto es clave.
Nota: Aprovecho para emplazar al lector interesado en profundizar sobre esta cuestión a participar de la webinar / taller de Protección de Datos que Auris Advocats va a celebrar online el próximo 28 de mayo 2021 de forma gratuita. Subiremos a nuestra web la grabación de dicho taller para su consulta a posteriori.
Encuéntrenos en www.aurisadvocats.com. También en Facebook, Instagram y LinkedIn.
Determinar la peligrosidad de la brecha de seguridad, será el siguiente paso. Deberemos establecer el nivel según esta escala:
- Peligrosidad crítica: afecta a datos valiosos, gran volumen y en poco tiempo.
- Peligrosidad muy elevada: dispone de capacidad para afectar a información valiosa, en cantidad apreciable.
- Peligrosidad elevada: cuando dispone de capacidad para afectar a información valiosa.
- Peligrosidad media: cuando dispone de capacidad para afectar a un volumen apreciable de información.
- Baja peligrosidad: escasa o nula capacidad para afectar a un volumen apreciable de información.
Actuaremos, en todo caso, en base a la categoría de la brecha detectada sin obviar la severidad de las consecuencias para los afectados, el volumen de personas afectadas, el impacto de la brecha en cuanto a perjuicio a las personas, etc.
Una vez superada la fase de detección, iniciaremos la fase de actuación. En este momento, notificaremos a todas las partes que participen del tratamiento de los datos personales.
En el caso ocupemos la posición de meros encargados de tratamiento, notificaremos al responsable de tratamiento de los datos; a nuestro Delegado de Protección de Datos cuando lo tengamos designado y debidamente dado de alta en la Agencia y a la autoridad de control, solamente cuando proceda.
Antes de terminar esta introducción a las brechas de seguridad de los datos, vale añadir que la figura de Delegado de Protección de Datos es un cargo de importancia a tener en cuenta en nuestra organización. Si bien la ley obliga a designar DPD en ciertos supuestos, cada vez más las necesidades del mercado llevan a incorporar esta figura en el seno de nuestras empresas.
Estar informado de las obligaciones y responsabilidades que la ley impone a su actividad profesional es imperativo. Es todavía muy frecuente detectar dejaciones inaceptables en materia de RPGD. Uno de los sectores que incumple de forma sistemática la obligación de contar con DPD, es el sector médico. Contamos por millares las consultas clínicas que no disponen aún ni de una adaptación garantista a la legislación vigente en materia de Protección de Datos…
En Auris Advocats somos abogados especialistas en Protección de Datos desde hace más de quince años. Somos uno de los despachos tecnológicos de referencia de la especialidad. No dude en contactar con nosotros para recibir una asesoría o formación al respecto. Estamos encantados de servir y de ayudar siempre que podamos resultar de utilidad.
Laura Bachs
Especialidades:
Derecho de las Nuevas Tecnologías
Protección de Datos
Derecho Procesal