L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat hui una actualització de la seua ‘Guía per a la notificació de bretxes de dades personals’, un document que té com a objectiu guiar als responsables dels tractaments de dades personals en la seua obligació de notificar-les a les autoritats de protecció de dades i comunicar-li-ho a les persones les dades de les quals s'hagen vist afectats. Esta guia actualitza la versió publicada en 2018, quan va començar a aplicar-se el Reglament General de Protecció de Dades (RGPD), i inclou l'experiència arreplegada en este temps, tant a nivell nacional com en relació amb els criteris establits pel Comité Europeu de Protecció de Dades.
El principal propòsit d'esta actualització és facilitar el compliment de forma eficaç i eficient dels objectius últims de la notificació de bretxes de dades personals: la protecció efectiva dels drets i llibertats de les persones, la creació d'un entorn més resiliente basat en el coneixement de les vulnerabilitats de l'organització i la garantia d'una seguretat jurídica en disposar els responsables d'un mitjà per a demostrar diligència en el compliment de les seues obligacions.
Qualsevol organització es troba exposada a patir una bretxa de dades personals que puga repercutir en els drets i llibertats de les persones, i està obligada a gestionar-la de forma adequada. Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales. La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.
Les notificacions i comunicacions relatives a bretxes que afecten a dades personals formen part de la responsabilitat proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.
La Guia oferix directrius per a facilitar i simplificar el compliment d'estes obligacions i, entre altres punts, orienta sobre alguns terminis que el RGPD deixa oberts, com la notificació d'una bretxa de dades personals a l'autoritat de control de forma gradual, els terminis per a comunicar-la a les persones les dades de les quals s'han vist afectats o els relatius al fet que els encarregats de tractament informen als responsables quan es produïx una bretxa.
L'Agència ha gestionat més de 700 bretxes de dades notificades en els primers cinc mesos de 2021. La majoria d'elles s'han produït per un atac extern i intencionat sent el ransomware l'amenaça més freqüent, comprometent no solament la disponibilitat sinó també la confidencialitat de les dades personals.
