OBLIGACIÓN DE REACCIONAR CON EL REGLAMENTO DE PROTECCIÓN DE DATOS
Desde que se empezara a aplicarse el RGPD, cabe decir que muchos responsables del tratamiento de datos han podido lograr que sus organizaciones afronten, con éxito, la gran cantidad de cambios que venía a exigir la implantación de la nueva normativa en esta materia: están ofreciendo más información a la hora de recabar los datos, conocen los nuevos derechos que tienen los interesados, son más cuidadosos cuando solicitan su consentimiento, etc.
Sin embargo, sigue habiendo un ámbito que, en nuestra experiencia, suele estar cubierto por un manto de desconocimiento: ¿cómo reaccionar ante una violación de la seguridad de los datos tratados?
Evidentemente, se trata de un desconocimiento muy peligroso porque el RGPD nos da un plazo muy breve para reaccionar.
Este desconocimiento llega al extremo de no tener claro en qué consiste una violación de seguridad.
Al tocar el tema, notamos que muchas de las personas con las que hemos hablado sobre esta delicada cuestión tienen la imagen de un «hacker» de película, tecleando código malicioso entre tinieblas con la esperanza de acceder a ordenadores ajenos.
Eso, desde luego, podría ser una violación de seguridad de los datos. Pero existen otras muchas posibilidades que son muy diferentes a la indicada.
La definición ya clásica de brecha o violación de la seguridad de los datos, a grandes rasgos, es cualquier suceso que ocasione en los datos, de forma no autorizada o deseada:
· Destrucción.
· Pérdida.
· Alteración.
· Comunicación.
· Acceso.
El ataque de un «hacker», sí, es una brecha de seguridad (acceso no autorizado). Pero también lo es, por ejemplo, enviar un correo electrónico a cientos de destinatarios sin usar la «copia oculta» (en este caso sería la comunicación no autorizada de datos, en concreto la dirección de correo de los otros destinatarios). También da igual si el evento ha afectado a soportes digitales o en papel. Las posibilidades son muy variadas y hay que estar alerta para no dejar pasar una violación de seguridad solo porque no la hemos reconocido como tal.
Especialmente porque, como anunciábamos arriba, el plazo para reaccionar ante la misma es muy limitado.
El RGPD indica que tenemos 72 horas para adoptar la respuesta adecuada ante una brecha de la seguridad de los datos. Pero ¿cuál es esta respuesta?.
El procedimiento, sin duda, es algo complejo, y lo podemos resumir en los siguientes puntos:
· Documentar lo sucedido.
· Adoptar medidas correctoras.
· Si somos encargados de tratamiento, deberemos notificar la brecha al responsable sin dilación.
· En caso de que la brecha haya supuesto un riesgo para los derechos de los interesados, deberá comunicarse la misma a la AEPD por los canales establecidos al efecto.
· Si además resulta que el evento no solamente causa un riesgo para esos derechos, sino que se trata de un «alto riesgo», la comunicación deberá hacerse también a los propios interesados.
Las dudas evidentes a tener en cuenta aquí son las siguientes:
· ¿cuál es la diferencia entre «riesgo» y «alto riesgo»?.
· ¿Cuándo se produce cada una de estas situaciones? (porque, como vemos, sus efectos son diferentes).
Lo que podemos decir en este caso es que no hay una unívoca y sencilla.
Evidentemente, el riesgo va a depender de la envergadura e importancia de los datos tratados, del tipo de brecha de seguridad, de las consecuencias en caso de revelarse o alterarse dichos datos, del volumen de información del que estemos hablando, etc.
En otras palabras, deberá llevarse a cabo un análisis específico, caso por caso, llevado a cabo por un especialista, y todo ello, recordemos, en un plazo máximo de 72 horas.
Por supuesto, si nuestra organización ha sido lo suficientemente proactiva antes de la violación de seguridad, muchos pasos de este trabajo de evaluación podrán ir más rápido (por no añadir que será menos probable que nos encontremos ante muchas de las brechas de seguridad más habituales). Pero incluso en este caso, realizar el trabajo de determinar el alcance legal de la violación detectada no es algo sencillo.
Por lo tanto, cuando empiece a contar el reloj de las 72 horas no tendremos tiempo para dudar. La reacción deberá ser inmediata.
LOPD
En la nueva Ley Orgánica de Protección de Datos, no viene regulado expresamente. Pero no hace falta, ya que esta ley se encuentra bajo el ámbito del RGPD.
Solo se hace mención en el artículo 72 que el incumplimiento de esta obligación será considerado como muy grave.
Haz clic AQUÍ para volver a la página principal de Ecovis Barcelona
Haz clic AQUÍ para conocer a nuestros compañeros de Ecovis Internacional