Una de las grandes novedades que introduce la normativa europea de protección de datos, y por tanto, una obligación a cumplir; es la notificación de las violaciones de seguridad de datos personales a las autoridades de control.
Desde WE DOCTOR, estamos especialmente sensibilizados en el cumplimiento de la regulación europea de protección de datos, y tenemos establecido un protocolo de actuación ante cualquier situación de este tipo.
El Reglamento, articula esta obligación en los artículos 33 y 34. “Cualquier responsable de tratamiento de datos, que tenga conocimiento de una violación de seguridad que afecte a los datos personales tratados en sus instalaciones, notificará a la Agencia Española de Protección de Datos (la autoridad competente), la violación de seguridad acaecida en un plazo máximo de 72 horas”.
Las violaciones de seguridad tienen que ser definidas más concretamente por las autoridades, pero las empresas deben ser lo suficientemente diligentes a la hora de adoptar medidas adecuadas para evitar situaciones que generen daños o perjuicios de distinta índole, como por ejemplo daños físicos, materiales o inmateriales, daños económicos para las personas cuyos datos son tratados.
WE DOCTOR, ha adoptado una serie de medidas de tipo técnico y organizativo, al objeto de reducir a la mínima expresión los riesgos de que se produzcan situaciones como las descritas, y asimismo ha seleccionado como encargado del almacenamiento y tratamiento de sus datos personales a Microsoft, compañía de amplio y reconocido prestigio, a la que la Agencia Española de Protección de Datos, reconoce expresamente su solvencia y las garantías que ofrece en todos sus servicios corporativos en la nube.
Se entiende como violaciones de seguridad a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizado a dichos datos.
No hay que confundir cualquier incidente de seguridad que se produzca en las oficinas de la empresa, con violaciones de seguridad de datos personales, que deben afectar estrictamente a los citados datos de carácter personal en sus vertientes de confidencialidad, integridad y disponibilidad.
Las violaciones además de notificarse a las autoridades, pueden notificarse a los interesados en ciertos supuestos: en concreto si existe un riesgo muy alto de que sus derechos y libertades se vean afectados.
Si el riesgo es alto, se comunicarán a la Agencia Española de Protección de Datos. Por tanto, la diferencia es evidente dependiendo del grado de riesgo existente pero desafortunadamente en la normativa europea, no viene claramente definida la diferencia.
Lo que es indudable, es que cualquier entidad, como es el caso de WE DOCTOR, debe de tomar todas las medidas necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos personales, con lo que reducirá los riesgos de que sufra cualquier brecha de seguridad respecto a los datos personales que trate.
Es necesario destacar, que si el riesgo es considerado como bajo, no se tendrá obligación de notificar la violación de seguridad ni a los interesados, ni a las autoridades de control.
Si las empresas, han adoptado las medidas técnicas y organizativas adecuadas en un momento anterior al incidente de seguridad, no sería necesaria esa notificación a las autoridades. En la normativa, se especifica como una de las medidas adecuadas el cifrado de datos, de forma que estos se hagan ininteligibles para terceros.
Ante lo expuesto, es imprescindible disponer de un protocolo de actuación ante violaciones de seguridad y de evaluación de los riesgos que conllevan esas situaciones. WE DOCTOR, dispone de un departamento de privacidad, en el que se analizan este tipo de situaciones, evaluando los riesgos y actuando conforme a protocolos de actuación.
En dichos protocolos, debe de reflejarse los responsables de dar respuesta a los incidentes y el tiempo de respuesta.
En la evaluación de los riesgos que suponen las violaciones de seguridad, es clave examinar el tipo de incidente, el grado de sensibilidad de los datos personales afectados, las consecuencias que tienen para los titulares de los datos, así como el grado de dificultad a la hora de la identificación de los datos que han sufrido la incidencia o brecha de seguridad.
Asimismo, es necesario que la empresa sea consciente del origen del incidente, el número de afectados y el alcance.
Con la nueva normativa, se deberá de comunicar a las autoridades de control en un plazo de 72 horas, las violaciones de seguridad que se detecten, sin dilaciones indebidas. Si se superan esas 72 horas, se deberá justificar la dilación por parte de la empresa.
Si existen proveedores que también están tratando los datos personales, deberán notificar de inmediato cualquier violación de seguridad al responsable del tratamiento de dichos datos personales. En nuestro caso, WE DOCTOR dispone de un canal de comunicación con Microsoft, para dar respuesta inmediata a cualquier incidente de seguridad.
Hay una excepción a esta obligación: se exime de notificar las violaciones de seguridad, cuando el riesgo para los derechos y libertades fundamentales de los interesados sea improbable.
El contenido mínimo que la notificación debe contener es el siguiente:
- Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
- Describir las medidas adoptadas o propuestas por la empresa para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
La explicación para justificar esta obligación, es que las autoridades de control dispongan a la mayor celeridad posible de toda la información referente a las violaciones de seguridad, para adoptar las acciones que se estimen pertinentes y que los interesados puedan tomar medidas, una vez tengan conocimiento de que se han producido brechas de seguridad que les afectan personalmente.
Ejemplos prácticos de supuestos de alto riesgo, son casos en que se revele información confidencial de los interesados (contraseñas o participación en determinadas actividades), casos en que se produzcan grandes perjuicios económicos para los interesados o una difusión masiva de datos personales.
Imaginemos el robo de las contraseñas personales de un usuario de una plataforma o red social. Esa violación de seguridad debe ser comunicada de inmediato al usuario, para que tenga la posibilidad de cambiar las contraseñas en otras plataformas o redes sociales, en el supuesto de que haya utilizado las mismas claves. WE DOCTOR, llegado el caso, ante una supuesta incidencia de seguridad, comunicará de inmediato al usuario de la plataforma, la necesidad imperiosa del cambio de contraseñas, ante los riesgos derivados de seguir utilizando las mismas contraseñas.
Las autoridades europeas de protección de datos, están preparando un formulario estandarizado para toda Europa, en las que se ayudará a presentar notificaciones completas según las directrices fijadas por el Reglamento General de Protección de Datos.