Novedades en materia de brechas de seguridad
Por María Luisa González Tapia
En la sesión plenaria celebrada el 14 de diciembre del año pasado, el Comité Europeo de Protección de Datos aprobó un documento con recomendaciones para la gestión de brechas de seguridad, y en particular, para la valoración de la posible notificación de las mismas a autoridades de control y afectados (Guidelines 01/2021 on Examples regarding Personal Data Breach Notification).
Este nuevo documento completa la guía publicada en octubre de 2017 por Grupo el Trabajo del Artículo 29 (Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679, WP 250), a través del análisis de 18 casos prácticos. En cada caso práctico, se analiza si resulta necesaria la notificación de la brecha a la autoridad de control, si se debe realizar una comunicación a los afectados y qué medidas correctoras o mitigadoras deben implantarse.
Por su parte, la autoridad de protección de datos de Irlanda (Data Protection Commission o DPC) ha recordado en sus perfiles sociales que los responsables del tratamiento que se encuentran en su jurisdicción tienen disponible la guía práctica elaborada por esta autoridad con recomendaciones para la notificación de brechas de seguridad (Quick Guide to GDPR Breach Notifications). Según explica la DPC, el responsable del tratamiento debe partir de la norma general de que todas las brechas de seguridad tendrán que notificarse salvo que concurran circunstancias excepcionales que hacen que las mismas no impliquen riesgos relevantes para los afectados (es decir, la no notificación requiere una justificación del caso excepcional):
“A controller is obliged to notify the DPC of any personal data breach that has occurred, unless they are able to demonstrate that the personal data breach is ‘unlikely to result in a risk to the rights and freedoms of natural persons’. This means that the default position for controllers is that all data breaches should be notified to the DPC, except for those where the controller has assessed the breach as unlikely to present any risk to data subjects, and the controller can show why they reached this conclusion. In any event, for all breaches – even those that are not notified to the DPC, on the basis that they have been assessed as being unlikely to result in a risk – controllers must record at least the basic details of the breach, the assessment thereof, its effects, and the steps taken in response, as required by Article 33(5) GDPR”.
La Agencia Española de Protección de Datos todavía no ha publicado su informe mensual con las estadísticas de brechas de notificadas en el mes de diciembre. Los dos últimos informes disponibles en la web son los de octubre y noviembre. Si el informe de noviembre se inicia recordando el papel fundamental del DPD en la gestión de brechas de seguridad, el de octubre aclara la posición del encargado del tratamiento que sufre una brecha de seguridad. Este deberá informar a la mayor brevedad al responsable, que es quien lleva a cabo la evaluación del riesgo y toma la decisión sobre la notificación o no a la autoridad de control y a los afectados:
“Durante el mes de octubre han ocupado un lugar predominante notificaciones de brechas de datos personales ocurridas en encargados de tratamiento y que afectan a múltiples responsables.
Los encargados de tratamiento cuando sufran una brecha de datos personales que afecte a tratamientos que realizan por encargo de uno o varios responsables deben informar a estos sin dilación indebida. Al responsable del tratamiento le corresponde la obligación de evaluar el riesgo para los derechos y libertades de las personas físicas que puede suponer la brecha de datos personales, y documentarla en un registro interno de brechas de datos personales.
A menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas, el responsable deberá notificarla a la autoridad de control competente. Además, si el riesgo es alto, el responsable debe comunicar la brecha en los términos descritos en el artículo 34 del RGPD a las personas cuyos datos se han visto afectados”.
Debemos aclarar que, desde marzo pasado, cuando se produjo un impactante incendio en los servidores de OVH que afectó a numerosos clientes de la entidad, han sido numerosas las brechas de seguridad de proveedores de servicios que hemos ido conociendo a lo largo de 2021. Si varios responsables realizan una notificación a la autoridad de control, obviamente, esta recibe un número variable de comunicaciones relativas al mismo incidente, que debe tramitar y analizar. En algunos casos, incluso, se abrirán procedimientos sancionadores. Probablemente las resoluciones de archivo de actuaciones E/05932/2021 y E/05933/2021, que hablan de un incendio en un proveedor de servicios son resultado de las notificaciones efectuadas tras el incidente de OVH. En ambos casos, la Agencia Española de Protección de Datos considera que no existen evidencias de que, con anterioridad a la brecha de seguridad, no se hubieran implantado medidas razonables en función de posibles riesgos por parte de los responsables. Además, se actuó de forma diligente una vez conocida la brecha de seguridad.
