En primer lugar, debemos explicar lo que se entiende por brecha de seguridad. La Agencia Española de Protección de Datos, AEPD, la define como: “Una brecha de datos personales es un incidente de seguridad que afecta a datos de carácter personal, pudiendo producir daños sobre los derechos y libertades de las personas físicas cuyos datos son objeto del tratamiento.”
Si bien, no todo incidente de seguridad tiene que considerarse necesariamente una brecha de seguridad a efectos de la normativa en materia de protección de datos, puesto que el incidente de seguridad puede no llegar a afectar datos de carácter personal y, esta esto es lo que determina su naturaleza y como consecuencia nuestras obligaciones de actuación.
También debemos advertir que, aunque la denominación de brecha de seguridad nos haga imaginar que se trata de un incidente informático o tecnológico, no tiene por qué ser así. Por ejemplo, si se extravía una documentación física, estaríamos hablando de una brecha de seguridad a todos los efectos.
Por lo que, lo fundamental es, que se vean comprometidos datos de carácter personal y, en concreto, su confidencialidad (acceso a la información solo mediante autorización y de forma controlada), integridad (modificación de la información solo mediante autorización) y disponibilidad (la información del sistema debe permanecer accesible mediante autorización.).
En segundo lugar, una vez sabemos identificar una brecha de seguridad, tenemos que saber lo que debemos hacer, nuestras obligaciones:
El art. 33 del RGPD, establece la obligación de notificar a la AEPD (en España) cualquier violación de seguridad de datos personales en las primeras 72 horas desde que se haya producido o se tenga conocimiento de la misma, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Por ello, en todo caso, debemos de recoger en un informe la incidencia, analizarla y determinar si se han visto afectados datos de carácter personal y en su caso, si existe riesgo para los derechos y libertades de las personas físicas. Si concluimos, que no se han visto afectados datos de carácter personal o en caso afirmativo, a pesar de ello, no existe riesgo para los derechos y libertades de las personas físicas, será suficiente con documentar la incidencia.
Si, por el contrario, se han visto afectados datos de carácter personal y existe riesgo para los derechos y libertades de las personas físicas, debemos de notificar este informe a la AEPD antes de 72 horas y además aportar la siguiente información sobre la brecha de seguridad: a) describir la naturaleza de la violación de la seguridad y, cuando sea posible, las categorías y el número aproximado de afectados. b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) describir las posibles consecuencias. d) describir las medidas adoptadas o propuestas para poner remedio y para mitigar los posibles efectos negativos.
