El artículo 33 del Reglamento General de Protección de Datos obliga a que las empresas notifiquen las brechas de seguridad de datos personales. Pero, ¿qué son estas brechas? Se trata de fallos en la seguridad que pueden hacer que terceros tengan acceso a la información, especialmente a los datos de carácter personal, almacenados en los sistemas.
El Reglamento no define de forma categórica que son las brechas de seguridad de datos personales, pero se refiere tanto a fallos accidentales como a brechas intencionadas que puedan poner en peligro la seguridad de estos datos.
Los sistemas informáticos son cada vez más seguros, pero eso no impide que pueda haber virus o ataques por parte de hackers que puedan causar daños en los sistemas de seguridad. Incluso tomando todas las precauciones esto puede ocurrir, lo hemos visto en grandes empresas que emplean millones de euros en seguridad, para cuanto más en cualquier otra más modesta.
El reglamento tiene en cuenta que estas brechas pueden darse, por eso obliga a que se comuniquen en un plazo máximo de 72 horas, de modo que cualquier persona que haya podido ver sus datos comprometidos pueda saberlo y tomar las medidas que considere oportunas. La comunicación se realiza en primer lugar a la Agencia Española de Protección de Datos.
¿Cómo se realiza la notificación?
Se realiza por vía telemática y en la misma se hará constar lugar, fecha y hora en la que se ha detectado la brecha, así como los equipos y sistemas que se han visto afectados. Se realizará a continuación una evaluación de los posibles daños, especialmente si estos han podido suponer daños y perjuicios tales como daños económicos o morales.
Se tendrá especialmente en cuenta que se hayan podido poner al descubierto datos sensibles, como los relativos a la filiación política, la etnia, datos de carácter sexual, genéticos, médicos etc. Asimismo, también se considerará que puedan estar implicadas personas especialmente vulnerables, como niños.
Con toda esta información se elaborará rápidamente un informe que será remitido a la Agencia Española de Protección de Datos. El informe también debe de incluir las medidas que se han tomado para resolver el problema.
¿Y los afectados?
Los afectados tienen derecho a conocer de manera inmediata que se ha producido esa brecha y que sus datos pueden haber sido expuestos. No obstante, en los casos en los que esté demostrado que no se pudo acceder a los datos, por ejemplo, por estar cifrados y no se han podido causar daños, no habrá obligación de comunicarlo.
Si los afectados son muchos, la empresa puede optar por un comunicado público en lugar de la comunicación individual.