Blogosfera Navas & Cusí

Nuestro bufete de abogados Navas & Cusí con sedes en Madrid y Barcelona posee carácter multidisciplinar y con una vocación internacional (sede en Bruselas), está especializado en derecho bancario , financiero y mercantil.
Contacta con nosotros
Para garantizar la calidad y la atención personalizada, atendemos con cita previa presencial o videoconferencia. No trabajamos a resultados.

Como es bien sabido, desde el pasado día 25 de mayo de 2018 el Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679, de 27 de abril de 2016) resulta plenamente aplicable. Si bien ya desde mayo de 2016 la citada norma entró en vigor, no ha sido hasta mayo de este año cuando se ha producido su plena aplicabilidad.

Son numerosas las novedades que presenta el Reglamento en cuestión. Destacan, a modo ejemplificativo, la necesidad de que concurra un consentimiento expreso para la cesión de los datos, sin que sea admisible en lo sucesivo el consentimiento por omisión, la incorporación del derecho al olvido o la ampliación en lo que se refiere a los derechos de información de los titulares de datos personales.

No obstante, en lo que hoy vamos a centrarnos es en el régimen aplicable en el nuevo Reglamento General de Protección de Datos en lo que se refiere a otra cuestión fundamental: las brechas de seguridad.

En efecto, los artículos 33 y 34 del RGPD abordan dicha cuestión introduciendo una novedosa regulación, encaminada a fortalecer las obligaciones de los responsables de tratamientos de datos en caso de sufrir una brecha de seguridad, conllevando ello el correlativo fortalecimiento de los derechos de las personas físicas titulares de sus datos personales así como la seguridad en el tratamiento de los mismos.

¿Qué se entiende por brecha de seguridad?

En primer lugar, el concepto de brecha de seguridad debe identificarse con el de la violación de seguridad de los datos personales. En los términos del nuevo RGPD, existe una violación de seguridad de los datos en aquellos casos en los que la “violación de la seguridad ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” (artículo 4, apartado 12).

Proceso de notificación de brecha de seguridad de los datos

Pues bien, dicho esto, cuando se produce la violación de los datos personales, el responsable del tratamiento debe notificarlo en el plazo de 72 horas a la autoridad de control competente, que en España, es la Agencia Española de Protección de Datos. Los artículos 55 y 56 regulan cuál es la autoridad competente en caso de que por las circunstancias del caso pueda existir más de una.

Las brechas de seguridad se deben comunicar a la autoridad en un plazo de 72 horas

Si tal notificación no se produce en el plazo de 72 horas, deberá ir acompañada de los motivos de la dilación. Asimismo, se prevé que el encargado del tratamiento, que normalmente, es una empresa externa que trata los datos personales por cuenta del responsable, deba notificar sin dilación indebida al propio responsable del tratamiento las violaciones de seguridad.

El contenido en la notificación de brecha de seguridad

En cuanto al contenido de tal notificación dirigida a la autoridad de control, el RGPD nos indica que debe presentar el siguiente contenido:

a)

describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b)

comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c)

describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d)

describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Notificación a los afectados

Otra interesante cuestión que plantea el Reglamento es la comunicación de las violaciones de seguridad que debe efectuarse a las personas físicas titulares de sus datos personales. Al respecto, nos indica el Reglamento que, con carácter general, tal comunicación resulta preceptiva cuando sea probable que tal violación entrañe un alto riesgo para los derechos y libertades de las personas físicas, debiendo practicarse al interesado sin dilación indebida.

Ahora bien, existen casos en los que se exime de practicar tal notificación a los interesados: esto es, en el caso de haberse adoptado medidas de protección técnicas y organizativas apropiadas antes de que se produjese la violación (en particular, el cifrado u otras medidas que hagan ininteligibles los datos personales a quien no esté autorizado su acceso), cuando se hayan tomado medidas ulteriores que garanticen que ya no existe probabilidad que se concrete el alto riesgo para las libertados de los interesados así como en el caso de que tal notificación suponga un esfuerzo desproporcionado, pudiéndose en este último caso sustituirse tal notificación a los interesados por una comunicación pública o medida semejante.

Seguimiento y cierre de la brecha de seguridad

Por último, destaca la previsión del RGPD de disponer de un registro de brechas de seguridad, en el que se inscriban todas las incidencias o violaciones sufridas; deberá plasmarse, al respecto, los hechos relacionados con la violación, sus efectos y las medidas correctivas adoptadas, a fin de que la autoridad de control verifique el cumplimiento de las pertinentes obligaciones.

Desde Navas & Cusí Abogados y como expertos en Derecho Bancario y Derecho de la Unión Europea, podemos solventarle cualquier cuestión que se le presente con relación a la aplicación del nuevo Reglamento de Protección de Datos. Puedes contactarnos mediante nuestro formulario de contacto o llamando al teléfono 915 76 11 50 

 

> Leer más en nuestro blog sobre noticias de Protección de Datos y Derecho de la Unión Europea
> Leer más en nuestro blog sobre noticias de Derecho al Olvido

Author
Navas & Cusí Abogados
Artículo anterior Artículo siguiente