¿Cuándo se debe comunicar una brecha de seguridad de los datos personales a los afectados?

Con la intención de responder a tal pregunta, la Agencia Española de Protección de Datos (AEPD) ha publicado “Comunica-Brecha RGPD”, una herramienta que ayuda a los responsables de tratamiento en la toma de decisiones ante la obligación de comunicar una brecha de seguridad de los datos personales a los afectados.

El art. 34 del Reglamento General de Protección de Datos (RGPD) recoge la obligación que tienen los responsables que manejan datos personales de comunicar sin dilación a los interesados las brechas de seguridad de datos cuando sea probable que éstas entrañen un alto riesgo para los derechos y libertades de las personas físicas.

Asimismo, el citado precepto exime de tal comunicación al interesado si se cumple alguna de las siguientes condiciones:

• El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los mismos, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
• El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado;
• Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Teniendo presentes tal obligación y exoneraciones de comunicación, el objetivo de esta nueva herramienta es promover la transparencia y responsabilidad proactiva entre los responsables, en un ejercicio que permita a los afectados por una brecha de seguridad conocer cuándo dichos derechos y libertades pueden estar en riesgo y así poder tomar las medidas que consideren apropiadas para salvaguardarlos.

Este nuevo recurso de la Agencia es gratuito, fácil de utilizar y se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos que pueden ser indicativos del riesgo asociado a una brecha de seguridad. En ningún caso la AEPD almacenará los incorporados durante el proceso.

Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta ofrece como respuesta tres posibles escenarios:

1. Que se debe notificar la brecha de seguridad a los afectados al apreciarse un riesgo alto;
2. Que no es necesaria dicha comunicación;
3. O que no se puede determinar el nivel de riesgo.

El uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. De igual manera, el empleo de “Comunica-Brecha RGPD” para facilitar la toma de decisiones ante la obligación de comunicar brechas de seguridad a los interesados es independiente de la obligación de notificar dicha brecha a la autoridad de control.

Este nuevo recurso se suma al ‘Decálogo de recursos de ayuda de la AEPD’ para promover la concienciación y el cumplimiento del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.