Las brechas de seguridad son errores o fallos de funcionamiento de los sistemas de información que utilizamos a diario. Estos fallos de seguridad pueden ocasionar que terceras personas tengan acceso a nuestra información personal que se encuentra alojada en los sistemas. Algo que, sin duda, es preocupante, desde el punto de vista de la protección de los datos personales.
Por esta razón, nos parece adecuado presentar este artículo sobre las brechas de seguridad, su relación con la protección de datos personales y su diferente tratamiento en la LOPD y el nuevo RGPD.
¿En qué consiste una brecha de seguridad?
Al no existir una definición concreta en el articulado de las normas en las que nos basaremos (sí hay un esbozo en los considerandos del RGPD), ensayaremos una definición propia.
Se trata de los errores, fallos o violaciones intencionales que, producidos en o contra un sistema informático, derivan en la destrucción, pérdida o alteración de datos personales, comunicación o acceso en favor de terceras personas no autorizadas.
Desde el momento mismo en el que se masifican los sistemas informáticos, existen virus y personas que pueden dañarlos o atacarlos, con diferentes propósitos. Al igual que ha ocurrido con los automóviles, los sistemas informáticos han mejorado notablemente su seguridad. Pero esto no quita que sean inmunes a errores o ataques.
El legislador ha intentado contribuir en esta tarea de robustecer la seguridad de sistemas que almacenan datos de carácter personal. Por esta razón, en España (y también en el Derecho de la UE), las leyes sobre telecomunicaciones, sociedad de la información y datos personales contemplan disposiciones relativas al mantenimiento de la seguridad y a la gestión de incidentes.
La seguridad en la LOPD
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, es la norma “madre” en España, en materia de protección de datos. Tiene, por finalidad, proteger las libertades y los derechos fundamentales de las personas, en su privacidad, honor e intimidad.
Sin embargo, esta Ley Orgánica no regula totalmente lo referente a los fallos de seguridad que afectan a los datos personales.
Desde luego, hay referencias a la seguridad, pero tienen que ver más con la prevención que con su tratamiento. Así, el artículo 9º establece ciertas obligaciones, que corresponden a los responsables de los ficheros y encargados del tratamiento, tendentes a garantizar la seguridad de los datos personales y evitar su alteración, pérdida o acceso no autorizado.
En la misma línea, el artículo 42 (h) establece que es una infracción muy grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
La cuestión en el nuevo Reglamento General
En 2016, el Parlamento y Consejo Europeo aprobaron el Reglamento General de Protección de Datos, con los siguientes objetivos fundamentales: (i) unificar las normas sobre protección de datos en los países miembros de la Unión Europea; e (ii) introducir principios, derechos, figuras y requisitos que se estaban haciendo necesarios, debido a la vertiginosa evolución de las nuevas tecnologías.
La Unión Europea dio a los Estados miembros un plazo de dos años para adaptarse al nuevo Reglamento, pues el RGPD entrará en vigencia el 25 de mayo de 2018.
Te aclaramos que el Reglamento General modificará o complementará las disposiciones de la LOPD. Esto puede traer inconvenientes prácticos en muchos aspectos, pero no cuando se trata de brechas de seguridad (te recordamos las lagunas existentes en nuestra Ley Orgánica).
El Reglamento General ha regulado cómo deben actuar los responsables del tratamiento de datos personales cuando existe una violación de seguridad. A continuación, lo abordamos de forma más detallada.
Artículo 33 del RGPD
Se establece una regla general de mucha importancia: el responsable del tratamiento debe notificar la brecha de seguridad a la autoridad de control, cuando este hecho implique un riesgo para los derechos y libertades de las personas físicas. La notificación debe realizarse dentro de las 72 horas desde que se tuvo constancia de la violación.
En España, la autoridad de control es la Agencia Española de Protección de Datos.
Los pasos del procedimiento de notificación
1. Ocurrido el incidente de seguridad, el responsable del tratamiento de datos en la organización debe registrarlo e indicar lugar, fecha y hora de la detección. También se deberán registrar los equipos y sistemas que se vieron afectados.
En las organizaciones públicas o empresas que han designado un Delegado de Protección de Datos (figura creada por el Reglamento General), él será el encargado de llevar el registro.
2. En segundo lugar, se debe determinar si la brecha de seguridad constituye un riesgo para los derechos fundamentales y libertades de las personas físicas cuyos datos personales se estaban tratando. ¿Cuándo ocurre esto? Veamos algunos ejemplos:
– Si puede provocar daños y perjuicios físicos (por ejemplo, discriminación, pérdidas financieras o daño a la reputación).
– Cuando se pueda privar a las personas del ejercicio de sus derechos o del control de sus datos personales, por revelar circunstancias como su origen étnico,su filiación política, su militancia sindical, su vida sexual y sus datos genéticos, entre otros.
– Cuando los datos revelen situaciones personales (situación económica, condiciones de salud, datos sobre desempeño en el trabajo…).
– Cuando los datos sean de personas vulnerables (en especial, de niños).
3. Cuando existen los riesgos descritos anteriormente, debes realizar la notificación a la AEPD, dentro del plazo de 72 horas. La notificación dependerá del responsable del tratamiento o, si corresponde, del de seguridad o del delegado de protección.
Esta notificación debe incluir la naturaleza de la brecha de seguridad, las categorías de datos y la cantidad de afectados. También contendrá las medidas adoptadas para resolver el problema y, si corresponde, las tomadas para reducir los efectos negativos.
¿Se debe notificar al afectado?
Las brechas de seguridad deben ser notificadas a los afectados, sin dilación y según establece el Reglamento General. Sin embargo, para no alterar su tranquilidad, el responsable del tratamiento no está obligado a informar si: (i) previamente a la violación, se han adoptado medidas que protegen a las personas, como el cifrado; (ii) cuando no hay posibilidad de que el riesgo se materialice; y (iii) cuando la notificación individual implique un esfuerzo desproporcionado y pueda hacerse una comunicación pública.
En definitiva, el RGPD aumenta las garantías respecto a las brechas de seguridad.
