Confilegal
Confilegal
Menú
Comunicación de brechas de seguridad: nada cambia con el Estado de Alarma
Álvaro Ramos, delegado de Protección de Datos de ClarkeModet y abogado.
Portada / Profesionales

Comunicación de brechas de seguridad: nada cambia con el Estado de Alarma

|
06/4/2020 06:30
|
Actualizado: 13/8/2020 13:11
|

En esta noticia se habla de:

La ciberseguridad y la privacidad son dos temas que nos preocupa especialmente en estos días de Estado de Alarma, en que los ciberataques y quiebras de seguridad se han multiplicado ante el propio confinamiento y a la implantación del teletrabajo en muchas compañías. Por ello, las organizaciones deben estar especialmente atentas y por supuesto, seguir cumpliendo con la normativa en materia de protección de datos en lo que respecta a la información de terceros. Y por si alguno lo dudaba, la Agencia Española de Protección de datos emitía esta semana un comunicado sobre la notificación de brechas de seguridad de los datos personales durante el Estado de Alarma, aclarando que estas comunicaciones no han quedado suspendidas en ningún caso. Se mantienen las 72 horas de plazo para informar a la AEPD, además de la obligación de seguir cumpliendo con el resto de procedimientos y normas en esta materia.

Sin embargo, hay un punto fundamental que parece haberse olvidado en medio de las reacciones a esta noticia y es que no todas las brechas de seguridad deben de comunicarse a la Agencia Española de Protección de Datos ni a los afectados. Como hasta ahora, y tal y como indica la normativa, no tendrán que comunicarse aquellas brechas de seguridad por las que resulte improbable que éstas constituyan un riesgo para los derechos y las libertades de las personas físicas.

Estos conceptos de improbabilidad y riesgos obviamente están abiertos a la interpretación, y en ocasiones resulta muy difícil determinar cuándo estamos ante el riesgo elevado o ante la probabilidad del riesgo.

Para aclarar estos conceptos, la propia AEPD en su Guía de Gestión y Notificaciones de Brechas de Seguridad de los Datos Personales, incorpora un Anexo como modelo para determinar la probabilidad del riesgo a la hora de tomar la decisión respecto a la necesidad o no de realizar la notificación a la Autoridad de Control  y a los propios interesados.

Es en este anexo en el que establece la formulación para determinar tales obligaciones, empleando como índice principal la tipología de datos que se hayan podido ver afectados. Así, la formulación que establece la Agencia, tiene en cuenta tanto el volumen como el impacto de la brecha de seguridad.

Respecto al volumen de datos afectados, si se trata de menos de 100, se le aplica un valor correspondiente a 1; si es menos de 1.000, de 2, si está entre 1.000 y 100.000 le corresponde 3, mientras que si son más de 100.000 se le aplicaría el valor 4 y valor 5 si es más de un millón.

La tipología de datos es sencilla, estableciéndose que, si los datos no son sensibles, se le aplica un 1 y si lo son, 2. Esta es una de las cuestiones más relevantes ya que los datos sensibles incluirían aquellos relacionados con la salud, datos biométricos, opiniones políticas, origen racial o étnico y convicciones religiosas, entre otros.

En cuando a la regla para medir el impacto, dependerá del grado de exposición de los datos. Por ejemplo, si la exposición ha sido nula, le corresponde un valor de 2; si la filtración es interna sería 4; y si es externa en el concepto perimetral o filtrado a un partner se aplica 6. En cambio, si se han hecho públicos los datos, por ejemplo, al quedar publicada la información en internet, el valor sería 8 y finalmente, si el impacto es desconocido, se aplicaría el máximo, de 10.

Así, sólo si al hacer el cálculo de volumen por impacto, y si el umbral resultante es superior a 20 aproximadamente, se considera que es obligatorio comunicar a la Agencia. Y además, en el caso de que sea superior a 40, será obligatorio también  realizar la comunicación a los interesados.

Volumen x Impacto (tipología x impacto)

Los valores se determinan de la siguiente manera:

Para ilustrar su aplicación, tomamos como ejemplo el caso hipotético de una empresa en la que se produce una quiebra de seguridad que afecta a las facturas de 800 clientes, documentos que contienen datos personales identificativos, y suponemos que éstas han sido publicadas en internet. Se aplicaría una puntuación de Volumen 2 x (tipología 1 x por impacto 8), alcanzando un umbral total de 16, y según la guía de la Agencia no sería necesario comunicar la brecha de seguridad.

En el caso de una hipotética quiebra de seguridad en un hospital con 1.000 historias clínicas que quedaran publicadas en Internet, al aplicar la fórmula de la AEPD alcanzaríamos un total umbral de 48 (Volumen 3 x (tipología 2 x por impacto 8). En este caso, según la guía de la Agencia, sería necesario comunicar la brecha de seguridad.

De cualquier manera, y sea necesario o no comunicar la brecha a la autoridad de control y/o a los interesados, siempre será necesario actuar conforme al procedimiento exigido por el RGPD para solventarla cuanto antes y poner los medios para que esta no se vuelva a producir.

Como vemos, es primordial poder determinar qué información se ha visto afectada por la quiebra de seguridad, siendo muy relevante la tipología de datos afectada, el volumen de datos y, por supuesto, si los datos se han hecho públicos a través de Internet o únicamente eran accesibles. Todas estas circunstancias determinarán la necesidad de realizar la comunicación a la autoridad de control, así como la comunicación a los propios titulares afectados por la quiebra.

Por tanto, se debe de evaluar cada caso concreto para valorar los umbrales bajo los cuales el responsable debe de proceder a la notificación.

Recomiendo que, cuando se produzca una brecha de seguridad, se realice la comunicación interna necesaria y se contacte con el Delegado de Protección de Datos, que será quien evalúe adecuadamente los umbrales recomendados por la Agencia de cara a realizar un informe sobre la necesidad o no de comunicar la quiebra.

Eso sí, siempre dentro del plazo de las 72 horas debido a que, si tras el análisis se determina la obligatoriedad de la comunicación, esta deberá realizarse dentro del plazo y obviamente, dada la situación de confinamiento, tendrá que realizarse de manera telemática a través de la sede electrónica de la AEPD.

Noticias Relacionadas:
Un juzgado de Málaga fija un juicio de reclamación de cantidad para 2028 tras anularlo “por necesidades del servicio”
Clifford Chance asesora a Esteve en su oferta vinculante para la adquisición de HRA Pharma Rare Diseases
Solicitantes de alquiler logran un acuerdo de 2,1 millones de euros por la selección discriminatoria con IA
Clifford Chance asesora a BNP Paribas y J.P. Morgan en operaciones financieras de Atradius por 550 millones de euros
Andersen asesora a Grupo PrevenControl en la venta de la sociedad a Controlauto, propiedad de Portobello y Brisa
Cambios en la cúpula de A&O a pocos días de su fusión con Shearman & Sterling
Lo último en Profesionales