¿Cuándo debemos comunicar a los afectados una brecha de seguridad?

La Agencia Española de Protección de datos, ha creado una herramienta llamada “Comunica-Brecha RGPD” para ayudar a despejar las dudas ante esta situación, y desde TECNODERECHO os la vamos a enseñar y a explicar, para que la conozcáis y sepáis como funciona.

Antes de comenzar tenemos saber que, según ha definido la propia Agencia de Protección de datos, una brecha de seguridad es cualquier percance o incidente relativo a la seguridad que afecta a datos de carácter personal, de origen intencionado o accidental, que afecta tanto a datos que se traten de forma digital, como los tratados en papel, y que puede ocasionar destrucción, pérdida, alteración, o comunicación y acceso no autorizado a datos personales.

La Agencia de Protección de datos ha creado esta herramienta para ayudar a las empresas a determinar en qué casos o en que supuestos es necesario comunicar a las personas cuyos datos se hayan podido ver afectados por la existencia de la brecha de seguridad ya que, por norma general, si la brecha de seguridad puede ocasionar daños graves hay que comunicárselo a las personas afectadas.

Dicha herramienta es gratuita y muy fácil de utilizar mediante la cumplimentación de un breve formulario tras el cual se determinará uno de los tres resultados posibles, que son: la apreciación de un alto riesgo que determina la necesidad de notificárselo al afectado, que no es necesaria dicha notificación o que, en última instancia, no se puede determinar el nivel de riesgo.

El citado formulario consta de 7 apartados:

1. Inicio/ instrucciones: Explica de que trata la herramienta.
2. Sector/actividad: Se selecciona el más adecuado.
3. Sobre la Brecha: Pregunta por el origen del incidente, si ha sido interno o externo, un ciberincidente, etc.
4. Sobre las consecuencias: Cuales pueden derivarse del incidente: Destrucción, pérdida, o cifrado, alteración de los datos personales, accesos no autorizados, si se han podido recuperar los datos afectados, en qué grado pueden afectar las consecuencias.
5. Categorías de datos: Tipos de datos afectados, como, por ejemplo, datos bancarios, vida sexual, condenas o infracciones penales, etc…
6. Personas afectadas: Perfil de los afectados, referido solo a personas físicas, es decir si hay o no menores, si son colectivos vulnerables, y cuantas personas han sido afectadas.
7. Información temporal: Fecha en la que se detectó la brecha, y la fecha en la que se inició si es conocida.
8. Obligación de comunicar: La aplicación determina, según los datos proporcionados, si se debería comunicar o no la brecha de seguridad a los afectados, y la justificación legal.

Esta herramienta tiene como objetivo facilitar a los responsables el cumplimiento de los principios de transparencia y responsabilidad proactiva, pero su uso no sustituye la necesidad del responsable de valorar el riesgo (puesto que es el que más conoce los detalles del tratamiento, las características y las circunstancias, además del resto de factores que permiten obtener una valoración del riesgo acertada) ni la obligación de notificar dicha brecha de seguridad a la autoridad de control, antes de las 72 horas desde que ocurrió el incidente.

Tecnoderecho, en los contratos de prestaciónd de servicios de consultoría de protección de datos, incluímos como servicio la comunicación de las brechas de seguridad que sufren nuestros clientes, evitándole así al cliente tener que preocuparse de dicha notificación.