When do you need to notify a data breach?
¿Se han perdido, robado o comprometido los datos personales que tratas?
Is the processing likely to result in high risks?
Do I need to carry out a DPIA?
Yes, you need to carry out the DPIA
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Las brechas de datos pueden tener un impacto perjudicial en tu organización. Desde la pérdida financiera, hasta las multas, pasando por una merma de la confianza de los clientes, el impacto de las brechas de datos puede ser enorme. Es por eso que es esencial aplicar buenas prácticas y procedimientos de ciberseguridad para prevenir incidentes de seguridad. A pesar de esto, es posible sufrir una brecha de datos que tengas que notificar a tu respectiva autoridad de protección de datos (APD) o comunicar a las personas afectadas.
¿Qué es una «brecha de datos personales»
Una brecha de datos personales significa «una violación de la seguridad que conduce a la destrucción accidental o ilícita, pérdida, alteración, difusión no autorizada o acceso a datos personales».
Las organizaciones deben ser conscientes de que una brecha de datos personales puede cubrir mucho más que la mera “pérdida” datos personales. Incluye incidentes que afectan a la confidencialidad, integridad o disponibilidad de los datos personales. Es importante destacar que las brechas de datos personales incluyen incidentes de seguridad que son el resultado tanto de accidentes (como el envío de un correo electrónico al destinatario equivocado, la pérdida de una memoria USB que contiene datos del cliente o la eliminación accidental de datos médicos para los que no se dispone de copia de seguridad), como actos deliberados (como ataques de suplantación de identidad para obtener acceso a los datos de los clientes).
En otras palabras, esto incluye situaciones tales como cuando alguien accede a datos personales o los transmite sin la debida autorización, o donde los datos personales dejan de estar disponibles a través del cifrado por ransomware, o por pérdida o destrucción accidental. Si bien todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente brechas de datos personales (ya que puede no haber ningún dato personal involucrado en un incidente de seguridad determinado).
Leer más
Obligaciones de los responsables del tratamiento de datos
Si tu pyme actúa como responsable del tratamiento, hay tres principios principales en relación con las brechas de datos
- documentación de cualquier brecha de datos personales
- notificación de cualquier brecha de datos personales a la autoridad de protección de datos (APD) pertinente en un plazo de 72 horas, a menos que sea poco probable que resulte en un riesgo para las personas; y
- comunicación de esa violación a las personas sin demora indebida, cuando pueda resultar en un alto riesgo para las personas.
Es de suma importancia que los responsables del tratamiento comprendan y cumplan estas obligaciones, e implementen de antemano los procedimientos adecuados que les permitan determinar objetivamente a su debido tiempo si se requiere alguna de las notificaciones mencionadas anteriormente.
En cualquier caso, para todas las brechas –incluso las que no se notifiquen a una autoridad de protección de datos, sobre la base de que se ha evaluado que es poco probable que den lugar a un riesgo-, el responsable del tratamiento debe registrar al menos los detalles básicos de la brecha, su evaluación, sus efectos y las medidas adoptadas en respuesta, tal como exige el artículo 33, apartado 5, del RGPD.
¿Qué hacer y cómo actuar?
Notificación de una brecha de datos a la APD pertinente
De conformidad con el artículo 33, apartado 1, del RGPD, todas las brechas de datos deben notificarse a la APD pertinente, excepto las que no presenten ningún riesgo para las personas físicas. Para facilitar esta notificación, las APD han implementado procedimientos o formularios en línea que te guiarán paso a paso para asegurarte de que facilitas toda la información requerida.
Si la brecha tiene lugar en el contexto del tratamiento transfronterizo y la notificación es necesaria, el responsable del tratamiento, si está establecido en el EEE, deberá notificarlo a la APD principal. Por lo tanto, al redactar su plan de respuesta en caso de brechas de datos, el responsable del tratamiento de datos ya debe evaluar a qué APD principal deberá notificar. Si el responsable del tratamiento tiene alguna duda sobre la identidad de la APD principal, debe, como mínimo, notificar a la APD local donde se haya producido la infracción.
Cuando sea necesaria la notificación, deberá hacerse lo antes posible y en el plazo de 72 horas desde que se tuvo conocimiento de la brecha. En caso de que esto no sea posible, se requerirá una justificación del retraso. Se considerará que una organización ha llegado a ser «consciente» cuando exista un grado razonable de certeza de que se ha producido un incidente de seguridad y se han comprometido los datos personales.
Para poder demostrar a la APD pertinente cuándo y cómo tuvieron conocimiento de una brecha de datos personales, se recomienda que todas las organizaciones, como parte de sus procedimientos internos sobre brechas de datos personales, dispongan de un sistema para registrar cómo y cuándo tienen conocimiento de brechas de datos personales y cómo evaluaron el riesgo potencial que plantea la violación.
Cuando no sea posible facilitar toda la información pertinente a la APD en el plazo de 72 horas, la notificación debe realizarse en varias etapas. Deberá presentarse la notificación inicial y podrá facilitarse información adicional por fases.
Del mismo modo, de conformidad con el artículo 33, apartado 2, del RGPD, si su pyme es un procesador de datos, que trata datos personales en nombre de otra organización, debe notificar al responsable del tratamiento cualquier brecha de datos personales sin demora indebida. Esto es de vital importancia para que el responsable del tratamiento cumpla con sus obligaciones de notificación a su debido tiempo. Los requisitos relativos a la notificación de brechas también deben detallarse en el contrato entre el responsable del tratamiento y el encargado del tratamiento, tal como exige el artículo 28 del RGPD.
La notificación de una brecha de datos personales a la APD pertinente deberá, como mínimo:
- describir la naturaleza de la brecha de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de personas afectadas y las categorías y el número aproximado de registros de datos personales afectados;
- comunicar el nombre y los datos de contacto del delegado de protección de datos (DPD) u otro punto de contacto en el que pueda obtenerse más información;
- describir las consecuencias probables de la brecha de los datos personales; y
- describir las medidas adoptadas o propuestas por la PYME para hacer frente a la brecha de datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
Comunicación de brechas a las personas afectadas
Además, algunas brechas de datos deben notificarse sin demora indebida a las personas afectadas. Este es el caso cuando es probable que la brecha de datos personales suponga un alto riesgo para los derechos y libertades de la persona física.
La intención detrás de este requisito es garantizar que las personas afectadas puedan tomar las precauciones necesarias cuando se hayan producido incidentes que puedan suponer un alto riesgo para ellas.
Dichas comunicaciones a las personas deberán realizarse sin demora y, cuando proceda, en estrecha cooperación con la APD pertinente. En los casos en que sea necesario mitigar un riesgo inmediato para las personas, será necesaria una comunicación rápida.
Hay circunstancias en las que los responsables del tratamiento no estarán obligados a notificar a los particulares, tales como:
- el responsable del tratamiento haya cifrado los datos y las claves de cifrado no se hayan visto comprometidas;
-
el responsable del tratamiento haya adoptado medidas posteriores que garanticen que el alto riesgo para los derechos y libertades de las personas ya no se materialice;
o - supondría un esfuerzo desproporcionado. Sin embargo, en tal caso, el responsable del tratamiento deberá garantizar, mediante una comunicación pública o una medida similar, que los particulares sean informados de manera igualmente eficaz.
Esta comunicación a la persona debe describir en un lenguaje claro y sencillo la naturaleza de la brecha de datos personales e incluir al menos la siguiente información:
- el nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto en el que pueda obtenerse más información;
- una descripción de las consecuencias probables de la brecha de datos personales; y
- una descripción de las medidas adoptadas o propuestas por la organización para hacer frente a la brecha de datos personales, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.
- La comunicación también debe describir recomendaciones para que las personas afectadas mitiguen los posibles efectos adversos de la brecha de datos.
Se anima a los responsables y encargados del tratamiento a que planifiquen con antelación y pongan en marcha procesos para poder detectar y contener rápidamente una brecha, evaluar el riesgo para las personas y, a continuación, determinar si es necesario notificar a la autoridad de protección de datos competente y comunicar la brecha a las personas afectadas cuando sea necesario.
¿Cuándo necesitas notificar una brecha de datos?
