Brechas de Seguridad y RGPD
Brechas de Seguridad y RGPD están vinculadas desde el primer momento, teniendo en cuenta que el propio Reglamento, en su artículo 33, contempla la obligatoriedad de notificar una brecha de seguridad (violación de la seguridad de los datos personales) cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas, dentro de las primeras 72 horas desde que acontece.
Obviamente, la condición sine qua non de la notificación radica en que, en la brecha de seguridad, se vean envueltos datos de carácter personal y que de la misma se derive un riesgo para los derechos y libertades de los interesados.
El RGPD proporciona una serie de criterios y ejemplos, sobre cuándo se considerarán vulnerados esos derechos y libertades. De todos los riesgos que se enumeran, debidos al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, se ha creído, que los más adecuados a este supuesto son los siguientes:
- usurpación de identidad o fraude;
- pérdidas financieras;
- daño para la reputación;
- pérdida de confidencialidad de datos sujetos al secreto profesional;
- reversión no autorizada de la seudonimización;
- en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo;
- en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados
No obstante, este listado de criterios y supuestos a tener en cuenta, varias Autoridades Nacionales de Protección de Datos a nivel europeo, tienen ya, desde hace algún tiempo, desarrollados diversos criterios a tener en cuenta para valorar si las brechas de seguridad son susceptibles o no de notificación, estos son:
- El potencial detrimento para los datos de los interesados (agravios en los datos personales): este habrá de incluir el agravio emocional, así como físico y financiero. Algunas de las formas en las que este agravio puede manifestarse son: exposición al robo de identidad a través del lanzamiento de datos identificativos que no sean públicos, tales como números de pasaporte; o información sobre los aspectos privados de la vida de la persona como por ejemplo sus circunstancias financieras.
- El volumen de datos personales afectados: habrá que evaluarlo en relación con el tipo de datos objeto de la brecha de seguridad.
- El nivel de los datos personales, ¿son sensibles?: existen más probabilidades de que los derechos y libertades de la persona sean dañados cuando los datos envueltos en la brecha de seguridad son sensibles, entendiéndose por sensible la definición recogida en los artículos 4 y 9 del RGPD. Por tanto, incluso un solo registro podría ser el desencadenante de la brecha de seguridad si la información es particularmente sensible.
Así, el nuevo RGPD, introduce la obligatoriedad de notificación de las violaciones de la seguridad de los datos personales dentro de las entidades empresariales, sin excepción, con unas consecuencias en caso de incumplimiento que pueden acarrear sanciones de hasta 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Teniendo en cuenta que las multas administrativas se impondrán en función de las circunstancias de cada caso individual y graduándolas en función de una serie de criterios recogidos en el art. 83.2 del RGPD, entre ellos la tipología de los datos afectados, se puede concluir que las organizaciones deben contar con planes de contingencia para este tipo de sucesos y protocolos que aborden la gestión, notificación y solución de incidencias de este calibre.