El RGPD y las brechas de seguridad

El Reglamento General de Protección de Datos (RGPD) considera la pérdida de datos personales de una empresa una violación de seguridad, conocida como “brecha de seguridad”. El RGPD considera que se ha producido una brecha de seguridad cuando:

• Cuando se produce la pérdida o el robo de un dispositivo
• Cuando hay un acceso no autorizado a las bases de datos (incluso cuando lo hace alguien del personal de la empresa)
• Cuando se borran ficheros que contenían datos personales accidentalmente
• Cuando un ataque a la red produce una fuga de información
• Cuando se pierde documentación con información sensible

Al producirse una brecha de seguridad, el responsable o encargado del tratamiento de datos debe informar a la AEPD (Agencia Española de Protección de Datos) y a los propios afectados en 72 horas desde que se produjo la brecha.

Excepciones

Si el responsable o encargado puede demostrar que la brecha no supone un riesgo para los derechos y libertades de los afectados, no será obligado a informar de ésta.

Además, no es necesario informar de una brecha cuando:

• Cuando el responsable haya tomado medidas técnicas u organizativas antes de la brecha. Un ejemplo sería cifrar los datos para que sean ininteligibles para terceros.
• Cuando el responsable haya tomado medidas, después de la brecha, que aseguran que el alto riesgo no se puede materializar.
• Cuando la notificación suponga un esfuerzo demasiado alto, por lo que se optaría a una comunicación pública.

Sanciones

El incumplimiento de la obligación de notificar las brechas de seguridad se considera una infracción grave y las sanciones por ello pueden ascender a los 10 millones de euros o a una cuantía equivalente al 2% del volumen del negocio total anual global, dependiendo del valor más alto.