Límite 72 horas: la obligación de reaccionar ante una brecha de seguridad con el RGPD

03/07/2019

Más de un año después de que empezara a aplicarse el RGPD, cabe decir que muchos responsables del tratamiento de datos han podido lograr que sus organizaciones afronten, con éxito, la gran cantidad de cambios que venía a exigir la implantación de la nueva normativa en esta materia: están ofreciendo más información a la hora de recabar los datos, conocen los nuevos derechos que tienen los interesados, son más cuidadosos cuando solicitan su consentimiento, etc.

Sin embargo, sigue habiendo un ámbito que, en nuestra experiencia, suele estar cubierto por un manto de desconocimiento: ¿cómo reaccionar ante una violación de la seguridad de los datos tratados?.

Sin duda se trata de un desconocimiento muy peligroso porque -como veremos a continuación- el RGPD nos da un plazo muy breve para reaccionar, uno que recuerda a una conocida película que fue protagonizada por el actor Russel Crowe que, en España, se tituló “Los próximos tres días -límite 72 horas-”.

Este desconocimiento llega al extremo de no tener claro en qué consiste una violación de seguridad.

Al tocar el tema, notamos que muchas de las personas con las que hemos hablado sobre esta delicada cuestión tienen la imagen de un «hacker» de película, tecleando código malicioso entre tinieblas con la esperanza de acceder a ordenadores ajenos.

Eso, desde luego, podría ser una violación de seguridad de los datos. Pero existen otras muchas posibilidades que son muy diferentes a la indicada.

La definición ya clásica de brecha o violación de la seguridad de los datos, a grandes rasgos, es cualquier suceso que ocasione en los datos, de forma no autorizada o deseada:

  • Destrucción.
  • Pérdida.
  • Alteración.
  • Comunicación.
  • Acceso.

El ataque de un «hacker«, sí, es una brecha de seguridad (acceso no autorizado). Pero también lo es, por ejemplo, enviar un correo electrónico a cientos de destinatarios sin usar la «copia oculta» (en este caso sería la comunicación no autorizada de datos, en concreto la dirección de corrreo de los otros destinatarios). También da igual si el evento ha afectado a soportes digitales o en papel. Las posibilidades son muy variadas y hay que estar alerta para no dejar pasar una violación de seguridad solo porque no la hemos reconocido como tal.

Especialmente porque, como anunciábamos arriba, el plazo para reaccionar ante la misma es muy limitado.

El RGPD indica que tenemos 72 horas para adoptar la respuesta adecuada ante una brecha de la seguridad de los datos. Pero ¿cuál es esta respuesta?.

El procedimiento, sin duda, es algo complejo, y lo podemos resumir en los siguientes puntos:

  • Documentar lo sucedido.
  • Adoptar medidas correctoras.
  • Si somos encargados de tratamiento, deberemos notificar la brecha al responsable sin dilación.
  • En caso de que la brecha haya supuesto un riesgo para los derechos de los interesados, deberá comunicarse la misma a la AEPD por los canales establecidos al efecto.
  • Si además resulta que el evento no solo causa un riesgo para esos derechos, sino que se trata de un «alto riesgo», la comunicación deberá hacerse también a los propios interesados.

 Las dudas evidentes a tener en cuenta aquí son las siguientes:

  •  ¿cuál es la diferencia entre «riesgo« y «alto riesgo«?.
  • ¿Cuándo se produce cada una de estas situaciones? (porque, como vemos, sus efectos son diferentes).

Lo que os podemos decir en este caso es que no hay una unívoca y sencilla.

Evidentemente, el riesgo va a depender de la envergadura e importancia de los datos tratados, del tipo de brecha de seguridad, de las consecuencias en caso de revelarse o alterarse dichos datos, del volumen de información del que estemos hablando, etc.

En otras palabras, deberá llevarse a cabo un análisis específico caso por caso, llevado a cabo por un especialista, y todo ello, recordemos, en un plazo máximo de 72 horas.

Por supuesto, si nuestra organización ha sido lo suficientemente proactiva antes de la violación de seguridad, muchos pasos de este trabajo de evaluación podrán ir más rápido (por no añadir que será menos probable que nos encontremos ante muchas de las brechas de seguridad más habituales). Pero incluso en este caso, realizar el trabajo de determinar el alcance legal de la violación detectada no es algo sencillo.

Por lo tanto, cuando empiece a contar el reloj de las 72 horas no tendremos tiempo para dudar o remolonear. La reacción deberá ser inmediata.

Si cree que su organización no está preparada para esta situación, póngase en contacto con nosotros y le ayudaremos a protegerse.

Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales.

  • Servicios

  • Sectores