Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sistema de Protección de Datos de Carácter Personal al nuevo RGPD 2016/679, se sigue en ésta los contenidos según el post Calendario 2017 para la LOPD-Agosto que se corresponde con la notificación de una violación de la seguridad de los datos personales a la autoridad de control y Comunicación de una violación de la seguridad de los datos personales al interesado (Artículo 33 y 34 del RGPD).
Antes de proseguir, la firma Perkins Human Media, desea dejar constancia de su impronta pedagógica. Así mismo, se está intentado recalcar, a través de esta serie de artículos -Calendario 2017 para la LOPD-, los cambios más significativos que nos trae la aprobación del RGPD.
Dicho ésto, y por si a estas alturas aún no lo tuviere usted claro, el objetivo de esta serie de artículos es comentar los aspectos más novedosos de la nueva norma así como de ir guiándole a los cambios a tener en cuenta. En este sentido, puede que usted se haya formulado la cuestión ¿Qué diferencias provoca el nuevo reglamento europeo de protección de datos?
Se enumeran ocho aspectos significativos:
- Regulación de las transferencias internacionales de datos (artículos 45 y 47).
- Condiciones para entender válidamente que se ha prestado el consentimiento (artículo 7).
- Regulación específica del derecho al olvido o derecho de supresión (artículo 17).
- Notificación de una violación de la seguridad de los datos personales a la autoridad de control y Comunicación de una violación de la seguridad de los datos personales al interesado (artículo 33 y 34 respectivamente).
- Régimen sancionador completo (alcanzar hasta 20.000.000 € o el 4% del volumen de negocio total anual).
- Ya no es permitido el consentimiento tácito (Revisión y readaptación de cláusulas)
- Automatización del PIA (Privacy Impact Assesment -evaluación de impacto en la privacidad-)
- Designación del Delegado de Protección de Datos. Gozara de total independencia. Las empresas deberán contar con este delegado, interno o externo. (artículos 37 a 39).
Se selecciona para esta entrada la Notificación de una violación de la seguridad de los datos personales a la autoridad de control. Indirectamente se hará breve mención respecto de la Comunicación de una violación de la seguridad de los datos personales al interesado.
De dicho título (Artículo 33) quizás lo que más resalte es la expresión violación de seguridad. Por ésta se entiende:
«…toda destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos…»
El mero hecho de que los datos hayan sido expuestos se considera fuga de datos.
Por otro lado los artículos son bastante claro en cuanto a:
- A Quiénes se debe de comunicar la fuga de datos y,
- Qué se debe comunicar a la autoridad de control.
Respecto al primer punto
Del artículo 33.1: La comunicación a las autoridades.
Obviamente la comunicación a la autoridad de control competente –conforme al artículo 55 del RGPD– se entiende que será para España la AEPD o las de ámbito de Comunidad Autónoma (Cataluña, País Vasco y Madrid). El plazo: 72 horas desde que se produzca el suceso. En este caso el artículo advierte que si la notificación supera dicho plazo, el Responsable del Fichero o Responsable del tratamiento, debe proporcionar una justificación razonable ante dicha autoridad de control.
Siguiendo el apartado 1 del artículo en curso, se aprecia en el mismo, una excepción clave o cuándo no es necesario notificar:
«…a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas…»
Lo anterior, deja lugar al criterio y discusión por parte de la organización a la hora de decidir si notificar o no una fuga de datos.
Siguiendo en esta línea, el artículo 34 (Comunicación de una violación de la seguridad de los datos personales al interesado), la pregunta es la misma que ante la Autoridad de control ¿Cuándo? El artículo 34 señala que se deberá notificar si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales.
Respecto de las consecuencias también hay que trasladárselas si: existe fraude, usurpación de identidad, daño físico y/o psicológico, humillación o perjuicio reputacional.
Por último en este ítem, la comunicación al afectado se realizará por vías de comunicación que garanticen una “pronta recepción de la información y sean seguras con arreglo al estado actual de la técnica”.
¿Cuándo no es preceptivo la comunicación al afectado? El artículo 34 señala:
- Cuando el responsable del tratamiento “ha adoptado medidas de protección técnicas y organizativas apropiadas”
- El responsable del tratamiento ha tomado “medidas ulteriores” para evitar que el riesgo para los interesados se materialice.
- Cuando la notificación supusiese un “esfuerzo desproporcionado” en cuyo caso se optaría por una comunicación pública o una “medida semejante por la que se informe de manera igualmente efectiva a los interesados”.
Respecto del segundo punto:
¿Qué debemos de notificar a la Autoridad de Control? La comunicación tendrá los siguientes extremos conforme el punto tercero del artículo:
- describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
- comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- describir las posibles consecuencias de la violación de la seguridad de los datos personales;
- describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Por último ¿Qué tipo de retos plantea a las empresas la comunicación de brechas de seguridad?
Desarrollar Procedimientos de modo que éstos permitan:
- Documentar adecuadamente este tipo de incidencias.
- Definir un plan de comunicación de brechas, tanto para los afectados como para la autoridad de control, definiendo competencias, tiempos de ejecución y modelo de comunicación para cada caso.
- Contar con un plan de contingencias que permita subsanarlas en el menor tiempo posible, minimizar el impacto y reforzar la seguridad interna.
Fuente-Información: © RGPD 2016/679 / © securityartwork.es
Fuente-Foto: © de su autor / © publicación