La Agencia Española de Protección de Datos ha publicado una actualización de su guía para notificar brechas de datos personales, con la finalidad de orientar a los responsables de los tratamientos de datos de las empresas según lo establecido en el Reglamento General de Protección de Datos. Asimismo, este documento refleja cómo debe comunicarse este problema a las personas o entidades a las que haya afectado, una obligación independiente a la de la notificación que se debe realizar a la autoridad de control. A continuación, desvelamos los principales puntos que recoge la guía.
Todas las empresas y organizaciones están expuestas a sufrir una brecha de datos personales que pueda afectar a los derechos y libertades de los trabajadores e incluso los clientes.
Ahora la ciberseguridad ya no solo es un elemento diferencial entre las empresas, sino que ha pasado a ser necesaria para garantizar un futuro empresarial totalmente digitalizado.
La ciberseguridad forma parte de la hoja de ruta de las grandes compañías y también es un nuevo signo de competitividad. Sin ir más lejos, ha sido un factor determinante a la hora de implementar modelos de trabajo híbridos. Xabier Mitxelena, director de Iberia Security Lead en Accenture, destaca que la clave del éxito de las grandes empresas reside precisamente en aplicar las pautas y los procedimientos de seguridad implementados para difundir el teletrabajo y que el gran reto será extenderlo a toda la cadena de trabajo, desde los clientes hasta los proveedores.
Garantizar un ecosistema seguro en las empresas depende de multitud de factores y, entre ellos, se encuentra la protección de los datos personales. Tan importante es mantener estructuras informáticas seguras como saber actuar a la hora de notificar una brecha de datos. Para ello, la Agencia Española de Protección de Datos (AEPD) actualiza sus Guías, para que las empresas puedan aplicar en estos casos un protocolo de actuación efectivo y de acuerdo a la ley vigente.
Cómo determinar el riesgo de una brecha de datos
Para evaluar el riesgo de una brecha de datos, la AEPD establece 7 elementos clave que deben considerarse a la hora de presentar el caso ante las autoridades:
- Tipo de brecha de datos personales.
- Naturaleza, carácter sensible y el volumen de datos personales.
- Facilidad de identificación de las personas.
- Gravedad de las consecuencias para los derechos y libertades de las personas.
- Características particulares del responsable de tratamiento.
- Número de personas afectadas.
- Consideraciones generales.
Las anteriores consideraciones funcionan como un parámetro que permite determinar la gravedad de la brecha y que así las autoridades pertinentes tomen las medidas necesarias.
En cualquier caso, es fundamental describir la naturaleza de la violación de la seguridad de los datos personales, plantear las posibles consecuencias, las medidas adoptadas o propuestas para poner remedio y comunicar el nombre y contacto del delegado de la protección de datos.
Cuándo y cómo notificar a las autoridades de control
Cuando una empresa conoce que se ha producido una brecha de datos personales que constituya un posible riesgo para los derechos y libertades de los usuarios afectados, es necesario notificar a las autoridades de control en un plazo máximo de 72h. En España, la autoridad competente para las empresas y organizaciones del sector privado es la AEPD.
Las notificaciones a la AEPD se realizan de a través de la Sede Electrónica, utilizando el formulario de notificación de brechas de datos personales.
Comunicación a las personas afectadas
Como complemento a la Guía actual, la AEPD también ha puesto a disposición de los usuarios una herramienta gratuita llamada Comunica-Brecha RGPD. Un recurso para que las empresas puedan valorar cuándo es necesario notificar a las personas físicas afectadas por una brecha de seguridad de los datos personales.
En algunos casos, como cuando se han tomado medidas para minimizar los daños o no hay un riesgo alto, no es necesario notificar a los afectados. Pero ahora también es posible consultarlo directamente: la herramienta permite realizar un breve formulario sobre los indicadores asociados al riesgo de la brecha y, posteriormente, facilita posibles recomendaciones de actuación.
Aunque la decisión final debe ser valorada por la persona responsable de la empresa, la información facilitada por la AEPD puede ser orientativa.
La ciberseguridad en los entornos corporativos ha pasado a ser esencial para garantizar el futuro de las empresas, tanto a nivel interno como externo. Aunque las grandes empresas suelen estar preparadas para responder a vulnerabilidades de seguridad, esta última guía publicada por la AEPD funciona como un protocolo de actuación para que los responsables conozcan claramente cuáles son las obligaciones a la hora de notificar a las autoridades, de acuerdo con el Reglamento General de la Protección de Datos (GDPR).