Cuando se produce un problema de seguridad en la empresa lo primero que se piensa es en volver a trabajar lo antes posible. Recuperar los sistemas y los datos, evaluar por dónde se ha producido el problema y poner las medidas para que no se repita. Pero luego toca pensar también en las consecuencias legales de dicho problema. Y en el caso de tratar con datos personales es más delicado. Muchos responsables de datos no saben si están o no obligados a informar de dicho problema. Para orientarles en este momento llega Comunica–Brecha RGPD, la herramienta de la AEPD para saber como actuar ante un problema de seguridad.
Se trata de clarificar en qué casos es obligatorio notificar una brecha de seguridad que afecte a datos personales. Hay que recordar que tras la entrada en vigor del RGPD y de la LOPDGDD, una brecha de seguridad que ponga en riesgo la integridad de los datos almacenados por la empresa, puede suponer la imposición de sanciones económicas por parte de la Agencia Española de Protección de Datos (AEPD).
La herramienta tiene un formato de autotest y está destinada al responsable de protección de datos para que sepa si tiene que notificar o no la brecha en función de la importancia, el tipo de datos afectados y la gravedad del incidente.
Con toda la información proporcionada se emite un dictamen no vinculante sobre las posibles acciones a realizar, teniendo en cuenta la información solicitada. Este dictamen se hace en base a lo establecido en el artículo 34 del Reglamento General de Protección de Datos:
- Informar de la brecha de seguridad a las personas afectadas.
- No informar de la brecha de seguridad, ya que la información expuesta no es importante.
- Con la información proporcionada no es posible determinar el riesgo.
Esto por lo que afecta a los propietarios de los datos, ya sean clientes o empleados, por ejemplo. Igualmente si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia. Dicha notificación se puede realizar a través de la Sede Electrónica de la propia Agencia para lo que debemos disponer de un certificado digital.
Si la AEPD considera que no hemos tomado las medidas de seguridad suficientes para la categoría de datos personales que estamos tratando, nos podría imponer una sanción, que pueden llegar hasta el 4% de la facturación anual o 20 millones de euros... Las más habituales en España impuestas hasta el momento van de los 120.000 a los 30.000 euros para los casos más graves.
Imagen | Kevin Ku en Pexels