¿Cuándo estoy obligado a comunicar una brecha de seguridad?

Por Sheila Fernández Derecho Protección de datos 24/11/2020

En esta publicación abordaremos un tema que causa dolores de cabeza a los responsables del tratamiento de datos personales: ¿Cuándo comunicamos a la Agencia Española de Protección de Datos (AEPD) y a los interesados una brecha de seguridad?

Recordemos que el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), obliga a los responsables del tratamiento a comunicar sin dilación, y a más tardar 72 horas después de que haya tenido constancia de ella, a la AEPD las violaciones de la seguridad que constituyan un riesgo para los derechos y libertades de las personas físicas.

Dicha comunicación, también tendrá que dirigirla a los interesados afectados, sin dilación, aunque ya sin plazo máximo, cuando sea probable que estas entrañen un alto riesgo para los derechos y libertades de las personas.

Ello ha hecho que las organizaciones se auto-regulen desarrollando procedimientos internos con mínimos de actuación que guíen a los responsables en la identificación de lo que se entiende por “alto riesgo” y “riesgo” para los derechos y libertades de las personas. Una herramienta complementaria a estas evaluaciones ha sido la creación de un registro de incidencias.

¿Qué se entiende por “violación de seguridad de los datos personales”?

El RGPD habla de “violación de seguridad”, aunque en el argot popular nos refiramos a estas incidencias como brechas de seguridad.

Por “violación de seguridad” se entiende toda violación que ocasione destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos.

Todas las violaciones son incidentes de seguridad, pero todos los incidentes de seguridad no son violaciones a los efectos del reglamento. Ello porque si no están implicados datos personales, no será relevante para el cumplimiento de esta normativa.

¿Cómo clasifico las brechas o violaciones de seguridad?

La AEPD y el GTA29 ayudaron a hacer una clasificación de las brechas de seguridad. Para ello se publicó una Guía para la gestión y notificación de brechas de seguridad que puedes consultar en cualquier momento.

En líneas generales hay diversos factores que se analizarán:

  • Tipo de amenaza: código dañino, intrusiones, fraude, etc. Se trata de una breve descripción del incidente en función de la información de la que se disponga.
  • Contexto u origen de la amenaza: interna o externa.
  • Categoría de seguridad de los sistemas y datos afectados.
  • El perfil de los usuarios afectados.
  • Número y tipología de los sistemas afectados.
  • Impacto del incidente en la organización y en los derechos y libertades de los afectados.
  • Requerimientos legales y regulatorios.
  • Vector de ataque o método: ruta o medio por el que se ha materializado el incidente. El concepto de “vector de ataque” suele ser uno de los criterios más aceptados a nivel mundial y está directamente relacionado con la identificación de este

A partir de ahí ofrecen también algunas tipologías que pueden dar lugar a un incidente como son al ataque dirigido, la denegación de servicio, el acceso a cuentas privilegiadas, el código malicioso, el robo o la filtración de datos, la ingeniería social, la explotación de vulnerabilidades etc.

Y se termina por clasificar las brechas en las siguientes categorías:

  • Brecha de confidencialidad: tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella. La severidad de la pérdida de confidencialidad varía según el alcance de la divulgación, es decir, el número potencial y el tipo de partes que pueden haber accedido ilegalmente a la información.
  • Brecha de integridad: se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo. La situación más grave ocurre cuando existen serias posibilidades de que los datos alterados se hayan utilizado de una manera que pueda dañar al individuo.
  • Brecha de disponibilidad: su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal (los datos son recuperables pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo), o permanente (los datos no pueden recuperarse).

¿Cómo valoro el alcance y riesgo de la brecha?

El objetivo de hacer este análisis es llegar a determinar el alcance de la brecha y adoptar las medidas técnicas y organizativas correspondientes.

En la misma Guía publicada por la AEPD se ofrecen pautas sobre cómo realizar esta valoración.

Concretamente se tendrán en cuenta los siguientes factores:

1. La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados.

Siguiendo la clasificación genérica, podemos distinguir entre:

  • Crítico (afecta a datos valiosos, gran volumen y en poco tiempo)
  • Muy Alto (Cuando dispone de capacidad para afectar a información valiosa, en cantidad apreciable)
  • Alto (Cuando dispone de capacidad para afectar a información valiosa)
  • Medio (Cuando dispone de capacidad para afectar a un volumen apreciable de información)
  • Bajo (Escasa o nula capacidad para afectar a un volumen apreciable de información)

2. Naturaleza, sensibilidad y categorías de los datos personales afectados:

  • Datos de escaso riesgo: datos de contacto, de educación, familiares, profesionales, biográficos
  • Datos de comportamiento: localización, tráfico, hábitos y preferencias,
  • Datos financieros: transacciones, posiciones, ingresos, cuentas, facturas,
  • Datos sensibles: de salud, biométricos, datos relativos a la vida sexual, etc.

3. Datos legibles/ilegibles: Datos protegidos mediante algún sistema de seudonimización (por ejemplo, cifrado o hash)

4. Volumen de datos personales: expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.)

5. Facilidad de identificación de individuos: facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la brecha

6. Severidad de las consecuencias para los individuos:

  • Baja: Las personas no se verán afectadas o pueden encontrar algunos inconvenientes que superarán sin ningún problema (tiempo de reingreso de información, molestias, irritaciones, etc.).
  • Media: Las personas pueden encontrar inconvenientes importantes, que podrán superar a pesar de algunas dificultades (costos adicionales, denegación de acceso a servicios comerciales, miedo, falta de comprensión, estrés, dolencias físicas menores, etc.).
  • Alta: Las personas pueden enfrentar consecuencias importantes, que deberían poder superar aunque con serias dificultades (malversación de fondos, listas negras de los bancos, daños a la propiedad, pérdida de empleo, citación judicial, empeoramiento de la salud, etc.).
  • Muy alta: Las personas pueden enfrentar consecuencias significativas, o incluso irreversibles, que no pueden superar (exclusión o marginación social, dificultades financieras tales como deudas considerables o incapacidad para trabajar, dolencias psicológicas o físicas a largo plazo, muerte, etc.).

7. Características especiales de los individuos: Si afectan a individuos con características especiales o con necesidades especiales.

8. Número de individuos afectados: Dentro de una escala determinada, por ejemplo más de 100 individuos.

9. Características especiales del responsable del tratamiento (de la entidad en sí): En base a la actividad de la entidad.

10. El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial. ·

11. El número y tipología de los sistemas afectados.

12. El impacto que la brecha puede tener en la organización, desde los puntos de vista de la protección de la información, la prestación de los Servicios, la conformidad legal y/o la imagen pública. Va a estar relacionado con la categoría o criticidad de los servicios y personas afectados. En este aspecto diferenciamos entre los siguientes impactos:

  • Bajo (perjuicio limitado)
  • Medio (perjuicio grave)
  • Alto (perjuicio muy grave)

13. Los requerimientos legales y regulatorios: Notificación de la brecha a la autoridad de control y cualquier otra obligación de notificación, comunicación a Fuerzas y Cuerpos de Seguridad del Estado en caso de delito.

Evidentemente mientras mayor sea el impacto, mayor sea el número de afectados, se involucren datos sensibles y/o personas vulnerables, alta sean las consecuencias posibles para los individuos y los sistemas implicados sean críticos, estarás en la obligación de comunicar la brecha.

¿Existen supuestos en los que no sea necesaria la comunicación a los interesados?

Sí, existen algunas condiciones que harán innecesaria la notificación a los interesados. Ten en cuenta que no te eximen de notificación a la AEPD.

Se trata de las siguientes:

  • el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
  • el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado;
  • suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Nueva herramienta online para ayudar a decidir sobre la comunicación a los afectados

Por si lo anterior no fuera suficiente, la AEPD acaba de lanzar una herramienta online con el objetivo de ayudar a los responsables a decidir si deben comunicar una brecha de seguridad a los afectados: Comunica-Brecha RGPD.

Su uso es muy sencillo. Respondes el formulario, y en función de los datos aportados la herramienta provee tres posibles escenarios:

  • Riesgo alto y deberás comunicar
  • No hay riesgo lato por lo que no es necesaria la comunicación
  • No puede determinarse el nivel de riesgo

En el último de los escenarios nuestra recomendación es que hagas una consulta a la misma AEPD o a profesionales especializados.

BONUS: modelo de notificación a los interesados o afectados

El RGPD exige que el responsable provea determinada información al interesado o afectado en caso de la comunicación de una brecha de seguridad.

Puedes descargar y usar nuestro Modelo-de-notificación-de-brecha-de-segruidad-a-los-interesados-afectadosDescarga

Para consultas, puedes contactar con nosotros en el teléfono 697 452 150, a través del correo info@legalamedida.com o por el formulario de esta web.

Sheila Fernández
Sheila Fernández es socia fundadora de LAM Abogados. Abogada con más de 10 años de experiencia, está especializada en nuevas tecnologías, propiedad intelectual, protección de datos, mercantil y compliance. Lidera igualmente el área de procesal penal del despacho.
Más de Sheila Fernández