Medidas de responsabilidad Proactiva (III)

1.3.4. VIOLACIONES DE SEGURIDAD

Las notificaciones sobre violaciones de seguridad o quiebras vienen recogidas en los arts. 33 y 34 y considerandos 85 a 88 del RGPD.

Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control

  1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 (Competencias de la Autoridad de Control)sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
  2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
  3. La notificación contemplada en el apartado 1 deberá, como mínimo:
    1. describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
    2. comunicar el nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
    3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;
    4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
  5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

 

Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado

  1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
  2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las recomendaciones establecidas en el artículo 33, (Notificación de violación de seguridad) apartado 3, letras b), c) y d).
  3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
    1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
    2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
    3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
  4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

La notificación de las violaciones o brechas de seguridad fue introducida por el art.4.2 de la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE) y transpuesta al derecho español por la Ley General de Telecomunicaciones (Ley 9/2014 de 9 de Mayo) a través de su art. 41.2 y 3 y en los art. 2 y 3 del Reglamento UE (611/2013). Si bien dichas notificaciones o violaciones de seguridad sólo afectaban a los operadores de servicios de comunicaciones electrónicas, a partir del 18 de mayo de 2018 las notificaciones sobre violaciones o brechas de seguridad deberán ser notificadas por los responsables de tratamiento a las Autoridades de Control y, en su caso, a los interesados si las mismas suponen un alto riesgo para los derechos y libertades de las personas físicas.

A. Notificaciones a las Autoridades de Control

 

  1. Alcance

El responsable de tratamiento deberá notificar a la Autoridad de Control tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales. Dicha notificación deberá realizarse sin dilación indebida y a más tardar en el plazo de 72 horas después de que haya tenido constancia de la misma, salvo que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases.

Así mismo, se establece que el encargado del tratamiento estará obligado a notificar sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

  1. Contenido

La comunicación deberá contener como mínimo la siguiente información:

  • Una descripción de la naturaleza de la violación de la seguridad de los datos personales: indicando si es posible las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
  • El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
  • Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
  • Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Así mismo, la violación de seguridad deberá quedar registrada y documentada por el responsable de tratamiento identificando los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (Esta medida de obligado cumplimiento para los responsables es muy parecida a la medida de seguridad del Registro de Incidencias que marca el RLOD).

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

B. Notificaciones a los interesados

  1. Alcance

Además de la comunicación a la Autoridad de Control el responsable tratamiento deberá comunicar al interesado sin dilación indebida, la violación de la seguridad de los datos personales cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No será necesaria la comunicación al interesado, si el responsable cumple con alguna de las siguientes condiciones:

  • El responsable del tratamiento ha adoptado con anterioridad a la violación de seguridad (ex-ante), medidas de protección técnicas y organizativas apropiadas sobre los datos que sufrieron dicha brecha o violación de seguridad, de manera que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como por ejemplo el cifrado;
  • El responsable del tratamiento tras la violación de seguridad (ex-post) ha tomado medidas para garantizar que ya no se materializará un alto riesgo para los derechos y libertades del interesado;
  • Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
  1. Contenido

La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la siguiente información:

  • El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
  • Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
  • Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Por último, se establece que en aquellos supuestos en los que el responsable no haya comunicado al interesado la violación de la seguridad de los datos personales, la Autoridad de Control, podrá exigirle que lo haga o que cumpla alguna de las condiciones anteriormente señaladas, si ésta última considera que existe probabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.

CONCLUSIONES

  • La comunicación a la Autoridad de Control de las violaciones de seguridad que afecten a datos personales se deberán realizar por el responsable del tratamiento sin dilación y en el plazo de 72.
  • La comunicación a los interesados de las violaciones de seguridad que supongan un alto riesgo para los derechos y libertades de las personas físicas se deberán realizar por el responsable del tratamiento sin dilación indebida.

 

1.3.5. EVALUACIÓN DE IMPACTO

La evaluación de impacto viene recogida en el art. 35 y en los considerandos 90 a 93 del RGPD.

Artículo 35: Evaluación de impacto relativa a la protección de datos

  1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
  2. El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
  3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
    1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
    2. tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), o
    3. observación sistemática a gran escala de una zona de acceso público.
  4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68 (Comité Europeo de Protección de Datos).
  5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.
  6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 (Mecanismo de coherencia) si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.
  7. La evaluación deberá incluir como mínimo:
    1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
    2. una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
    3. una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
    4. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
  8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 (Códigos de conducta) por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
  9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
  10. Cuando el tratamiento de conformidad con el artículo 6 (Licitud del tratamiento), apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
  11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Un análisis en profundidad de las Evaluaciones de Impacto excede del ámbito del presente curso de Actualización al RGPD. No obstante, conviene señalar algunos aspectos.

  1. Alcance

La Evaluación de Impacto deberá realizarse cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, art.35.1

En todo caso la Evaluación de Impacto deberá realzarse en tres supuestos:

  1. Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas.
  2. Tratamiento a gran escala de datos sensibles.
  3. Observación sistemática a gran escala de una zona de acceso público.

Es también es necesario realizar una mención al considerando 91 para tratar de esclarecer que se entiende por gran escala según el RGPD:

(91)….las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

Así mismo, permite a las Autoridades de Control de los Estados miembros establecer listas de tipos de operaciones de tratamiento que requieren Evaluación de Impacto o que consideren que no es necesaria dicha evaluación.

 

  1. Contenido

Respecto al contenido mínimo de la Evaluación el art. 35.7 del RGPD señala que deberá como mínimo contener:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  • Una evaluación de los riesgos para los derechos y libertades de los interesados;
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y demuestren la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Así mismo, se establece que en los supuestos en los que exista un Delegado de Protección de datos habrá que recabarse asesoramiento del mismo y, en su caso, cuando proceda de los propios interesados.

  • CONCLUSIONES
  • La evaluación de Impacto deberá realizarse cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
  • Deberá realizarse en todo caso en la elaboración de perfiles, tratamiento a gran escala de datos sensibles, observación a gran escala de zona de acceso público.
  • Se define gran escala como cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo.

 

Comments are closed.