Hoy vamos a comentar el correcto procedimiento de notificación de incidencias a la Agencia Española de Protección de Datos. Con carácter general, el Reglamento EU 679/2016 en su Art. 33 (en adelante el RGPD) y la Ley Orgánica 3/2018 exige a los responsables la obligación de notificar a la AEPD, las brechas o incidencias de seguridad.
El RGPD define, de un modo amplio, las violaciones de seguridad de los datos personales como todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Hay que tener en cuenta que la “violación” a la que se refiere el RGPD, aun siendo un tipo de incidente de seguridad, solo se aplica en la medida en que afecte a datos de carácter personal, y en consecuencia dicho incidente pueda comprometer al responsable del tratamiento en el cumplimiento de los principios del RGPD.
La única excepción a esta obligación de notificación tendría lugar cuando, conforme al principio de responsabilidad proactiva, el responsable pueda demostrar que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas.
Por el contrario, cuando la brecha de seguridad entrañe un alto riesgo para los derechos y libertades de los titulares de los datos, además de la comunicación a la autoridad de control, el responsable del tratamiento deberá, adicionalmente, comunicar a los afectados la brecha de seguridad sin dilación indebida y con lenguaje claro y sencillo, de forma concisa y transparente.
La normativa nos dice que, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales, debe efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes.
Cuando en el momento de la notificación no fuese posible cumplir con la obligación de facilitar toda la información exigida se facilitará de manera gradual, a la mayor brevedad y sin dilación.
Así mismo, el artículo 34 del RGPD establece que cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará a los afectados sin dilación indebida.
¿Cómo debemos realizar la notificación?
La notificación deberá contener como mínimo de los siguientes apartados:
A) Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
B) Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
C) Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
D) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
NOTA: Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD.
Las incidencias deben de ser registradas en el correspondiente Libro Registro.
Una vez elaborada la Notificación hay que inscribirla en la AEPD, mediante su Sede Electrónica, siguiendo los pasos establecidos por la misma. Os dejamos el enlace directo:
