La AEPD actualiza la guía para la notificación de brechas de datos personales

26-05-2021 — AR/2021/070

La AEPD ha publicado una actualización del documento denominado «Guía para la notificación de brechas de datos personales», que puede ayudar a los responsables de los tratamientos de datos personales en su obligación de notificar las brechas de seguridad a las autoridades de control y comunicárselas a los afectados.

 

La Agencia Española de Protección de Datos (AEPD) ha publicado, el 25-5-2021, la actualización de su guía para la notificación de brechas de seguridad.

En ella, subraya que el parámetro determinante para notificar una brecha de datos personales a la autoridad de control o comunicarla a los afectados es el nivel de riesgo. No cualquier tipo de riesgo o un riesgo para la organización, sino específicamente el riesgo para los derechos y libertades de las personas físicas afectadas por la brecha.

Destacamos a continuación las características de estas notificaciones.

Notificación a la autoridad de control

Identificación e informante

En el ámbito privado, la autoridad de control competente es la Agencia Española de Protección de Datos.

La notificación corresponde al responsable de tratamiento.

Características de la notificación

  1. El encargado del tratamiento que haya sufrido la brecha debe comunicar al responsable de tratamiento, sin dilación indebida, sobre la ocurrencia de la brecha de datos personales y todos los detalles relevantes.
    • Los procedimientos de gestión de brechas de responsables y encargados deben concretar el plazo para la notificación e incluso reflejarlo en el contrato de encargo de tratamiento.
  2. El encargado del tratamiento podrá notificar la brecha a la autoridad de control en nombre del responsable si así lo tiene establecido en un contrato o vínculo legal de similar índole.
    • En su caso, el encargado deberá emitir una notificación de brecha por cada responsable de tratamiento afectado.
    • Sin embargo, si la brecha afecta por igual a los derechos y libertades de los interesados de diferentes responsables a los que preste servicio, el encargado podrá emitir una sola notificación que abarque hasta a 10 responsables.
  3. No es obligatorio notificar todas las brechas de datos personales, pues el Reglamento General de Protección de Datos (RGPD) prevé una excepción a esta obligación: cuando, conforme al principio de responsabilidad proactiva, el responsable pueda afirmar que es improbable que la brecha entrañe un riesgo para los derechos y las libertades de las personas físicas.
  4. La notificación debe remitirse sin dilación, dentro de las 72 horas desde el instante en el que el responsable de tratamiento tenga constancia del incidente de seguridad y computando también las horas transcurridas de fines de semana y festivos.
    • En todo caso, antes del plazo máximo de 30 días desde la notificación inicial, el responsable deberá completar toda la información, incluida la decisión tomada sobre la comunicación de la brecha de datos personales a los afectados.
  5. La notificación a la autoridad de control debe respetar el contenido mínimo recogido en el artículo 33 del RGPD.

Comunicación a los afectados

Definición de afectados

Los interesados afectados son las personas físicas cuyos datos personales se han visto afectados por una brecha, que compromete la confidencialidad, integridad o disponibilidad de esos datos, y quienes pueden sufrir las consecuencias.

El procedimiento de gestión de brechas de datos personales de la organización debe incluir un procedimiento para comunicarlas a los interesados afectados.

Criterios para la comunicación

  1. Tan pronto como el responsable del tratamiento tenga constancia de la brecha, valorará el riesgo para las personas afectadas y determinará si debe comunicársela.
  2. Si el riesgo se determina como alto, la comunicación a los afectados ha de emitirse lo antes posible.
    • El RGPD no fija un plazo concreto para ella, pero todo retraso en la salida inmediata ha de justificarse.
  3. La comunicación debe estar redactada en un lenguaje claro y sencillo, respetar el contenido mínimo recogido en el artículo 34 del RGPD y dirigirse específicamente a las personas para las que exista un riesgo alto de que sus derechos y libertades queden dañados.
  4. No es necesaria la comunicación cuando:
    1. el responsable haya tomado medidas técnicas y organizativas adecuadas que eviten los riesgos anteriores, minimicen los daños a los derechos y libertades o los haga reversibles;
    2. el responsable haya tomado después de la brecha las medidas de protección que mitiguen total o parcialmente el posible efecto para los afectados y garanticen que el alto riesgo para sus derechos y libertades ya no se puede materializar..

Por último, la guía destaca el régimen sancionador por el incumplimiento de las obligaciones de los artículos 33 y 34 del RGPD, y las cuestiones específicas de la notificación de brechas de datos personales de acuerdo con la LGT1 exigibles a los operadores de servicios de telecomunicaciones electrónicas.


Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.