Una vez identificados en nuestra entrada Básicos de Brechas de Seguridad (I) – ¿He sufrido una brecha? los aspectos esenciales a tener en cuenta cuando se sufre una brecha de seguridad, en esta segunda entrada nos vamos a centrar en una pregunta fundamental (a la par que terrorífica para algunos): ¿Debo confesar a la AEPD que se ha producido una brecha de seguridad? La respuesta es, como siempre, depende.
Como se puede ver en el artículo 33.1 del RGPD, y en línea con lo que ya indicábamos en la anterior entrada, es crítico empezar por tener procedimientos internos de gestión y comunicación de brechas de seguridad dado que:
“En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control […] sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.”
(el resaltado es nuestro)
Por lo tanto, toda organización debe tener claro cuándo se encuentra ante una brecha de seguridad para poder atajarla a la mayor brevedad posible y cumplir con lo previsto en el artículo 33 RGPD. Para ello, la organización deberá disponer de medidas y protocolos adecuados para poder, siempre que sea posible, prevenir la brecha y, en caso de que se produzca, reaccionar de forma rápida.
¿Cuándo debo notificar a la AEPD una brecha de seguridad?
Una vez se tiene claro que se ha sufrido una brecha de seguridad, toca enfrentar la realidad y tomar una decisión: notificar o no notificar (esa es la cuestión). Para ello, hay que valorar los riesgos que puede suponer la brecha para las personas físicas. Para ello, y aunque cada supuesto es un mundo, la AEPD en su Guía para la gestión y notificación de brechas de seguridad (en concreto, en el Anexo III) ha establecido, a modo de ejemplo, una fórmula matemática (¡sencilla!) que toda organización puede usar para determinar si una brecha debe notificarse o no.
Sin perjuicio de la existencia de dicha fórmula, la organización deberá valorar caso por caso el supuesto ante el que se encuentre dado que este recurso ofrecido por la AEPD no deja de ser orientativo (en ningún caso, definitivo para tomar una decisión).
Es más, a efectos de potenciales sanciones (tal y como se verá más adelante) es muy relevante que la organización se tome muy en serio la decisión de si notifica (o no) la brecha de seguridad a la AEPD (y documentar dicha decisión) dado que la falta de notificación es, en sí misma, una infracción que, además, puede ser interpretada por la AEPD como una falta de implementación por parte de la organización de los protocolos y medidas apropiadas para cumplir con la normativa de protección de datos.
A modo de ejemplo, dejamos a continuación algunos supuestos que constituirían brechas de seguridad que, en un principio, podrían requerir ser notificadas a la AEPD:
- Robo de un portátil de un médico con información sensible acerca de sus pacientes y no estando dicha información cifrada.
- Phising* ocurrido dentro de una compañía multinacional que ha permitido al hacker acceder a la cuenta de un empleado y a toda la información alojada en su ordenador y en la nube.
- Envío masivo de correos electrónicos sin poner en copia oculta a los destinatarios del mismo y con adjuntos que incluyen información personal.
¿Cómo saber de cuánto tiempo dispongo para notificar una brecha de seguridad?
El RGPD exige que la comunicación se lleve a cabo sin dilación indebida y, cuando sea posible, en un plazo de 72 horas contadas desde que “se haya tenido constancia de ella”. En este sentido, tal y como explica la AEPD en sus FAQs, se considerará que una organización tiene constancia de una brecha de seguridad “cuando haya certeza de que se ha producido y se tenga un conocimiento suficiente de su naturaleza y alcance”. Es decir, “la mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados”.
Por lo tanto, ¡que no cunda el pánico! ya que las circunstancias en las que se encuentre la organización pueden hacer que: (i) no comience la cuenta atrás de las 72 horas; y/o (ii) no sea necesario comunicar la brecha de seguridad. En cualquier caso, siempre es bueno ser prudente.
Es importante destacar que, en determinados supuestos, puede darse el caso de que:
- No sea posible notificar la brecha de seguridad en el plazo de 72 horas. En estos casos, tal y como indica la AEPD, es posible hacer la notificación pasadas las 72 horas pero informando de los motivos por los que se ha producido el retraso; y/o
- No se tenga toda la información acerca de la brecha de seguridad. Para estas situaciones, la AEPD permite a la organización la posibilidad de llevar a cabo una notificación parcial y completarla en un momento posterior.
En cualquier caso, tal y como indica el Grupo de Trabajo del Artículo 29 en sus Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679, es de vital importancia que la organización actúe con rapidez a la hora de investigar una potencial brecha de seguridad para que, si efectivamente se ha materializado, la organización pueda adoptar todas las medidas correctivas pertinentes, incluyendo cualquier notificación a la autoridad que corresponda y, en su caso, comunicarla a los afectados.
¿Cómo notificar a la AEPD que he sufrido una brecha de seguridad?
Si bien el RGPD no especifica el método que debe seguir una organización a la hora de notificar una brecha de seguridad a la autoridad de control correspondiente, la mayoría de autoridades de la Unión Europea han implementado mecanismos de notificación a través de distintas plataformas electrónicas.
La AEPD, por ejemplo, ha establecido un canal específico para notificar brechas de seguridad (disponible aquí) a través de su sede electrónica. Mediante dicho canal, se podrá llevar a cabo la notificación parcial (si, por ejemplo, no se dispone de toda la información acerca del número total de afectados, datos personales involucrados en la brecha de seguridad, etc.) o completa (cuando la organización tiene toda la información relativa a la brecha de seguridad).
Entre otros elementos, se deberá facilitar la siguiente información:
- Datos de la organización responsable del tratamiento de los datos afectados por la brecha de seguridad;
- Información temporal de la brecha de seguridad (por ejemplo, fecha y medios de detección, si está o no resuelta, etc.);
- Tipología de la brecha de seguridad (esto es, de confidencialidad, integridad o disponibilidad);
- Categoría y número de datos y usuarios afectados;
- Posibles consecuencias de la brecha de seguridad; y
- Otra información como, por ejemplo, si se pretende comunicar la brecha de seguridad a los interesados o si se trata de una brecha de seguridad que haya afectado a varios países.
¿Qué esperar en caso de haber notificado una brecha de seguridad a la AEPD?
Tal y como establece el considerando 87 del RGPD, la notificación a la autoridad de control que corresponda por una brecha de seguridad puede derivar en “una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento”.
El procedimiento habitual que sigue la AEPD es, una vez recibe una notificación de brecha de seguridad y cuando así lo estima oportuno, abrir un expediente e iniciar de oficio actuaciones previas de inspección para el esclarecimiento de los hechos. Una vez finalizada la inspección, la AEPD puede desde iniciar un procedimiento sancionador, realizar un mero apercibimiento o proceder a su archivo. Es decir, la notificación no conlleva automáticamente una sanción.
En el caso de que la autoridad de control tome la decisión de sancionar a la organización, ésta podría llegar a ser doble por ausencia de implementación de medidas de seguridad por parte de la organización investigada o, por no haber cumplido con la obligación de notificar la brecha de seguridad.
Por último, solo informar de que a lo largo de los próximos días publicaremos la última entrega de esta saga de básicos de brechas de seguridad en el que trataremos los aspectos básicos a tener en cuenta para comunicar una brecha de seguridad a los afectados.
*Phising es un término informático que implica suplantar la identidad de un tercero para, por ejemplo, intentar adquirir información confidencial de forma fraudulenta.