A Axencia Española de Protección de Datos (AEPD) publicou hoxe unha actualización do seu ‘Guía para a notificación de brechas de datos persoais’, un documento que ten como obxectivo guiar aos responsables dos tratamentos de datos persoais na súa obriga de notificalas ás autoridades de protección de datos e comunicarllo ás persoas cuxos datos se viron afectados. Esta guía actualiza a versión publicada en 2018, cando comezou a aplicarse o Regulamento Xeral de Protección de Datos (RGPD), e inclúe a experiencia recollida neste tempo, tanto a nivel nacional como en relación cos criterios establecidos polo Comité Europeo de Protección de Datos.
O principal propósito desta actualización é facilitar o cumprimento de forma eficaz e eficiente dos obxectivos últimos da notificación de brechas de datos persoais: a protección efectiva dos dereitos e liberdades das persoas, a creación dunha contorna máis resiliente baseado no coñecemento das vulnerabilidades da organización e a garantía dunha seguridade xurídica ao dispor os responsables dun medio para demostrar dilixencia no cumprimento das súas obrigas.
Calquera organización atópase exposta a sufrir unha brecha de datos persoais que poida repercutir nos dereitos e liberdades das persoas, e está obrigada a xestionala de forma adecuada. Este incidente pode ter unha orixe accidental ou intencionada e, xeralmente, ocasiona a destrución, perda, alteración, comunicación ou o acceso non autorizado a datos persoais. A Guía comeza analizando que é unha brecha de datos persoais e que non o é no contexto do marco normativo europeo, nacional e sectorial. A seguir analiza cando hai que notificar dita brecha á autoridade de control, en que prazo, ou quen e que contido debe incluír esa notificación. No relativo á comunicación ás persoas afectadas, o documento recolle en que casos hai que realizala, o contido e os seus prazos.
As notificacións e comunicacións relativas a brechas que afectan a datos persoais forman parte de a responsabilidade proactiva establecida no RGPD, e o feito de notificala ou comunicala non implica necesariamente a imposición dunha sanción. De feito, facelo en tempo e forma é unha evidencia da dilixencia da organización, mentres que non cumprir con esa obriga si está tipificado como infracción.
A Guía ofrece directrices para facilitar e simplificar o cumprimento destas obrigas e, entre outros puntos, orienta sobre algúns prazos que o RGPD deixa abertos, como a notificación dunha brecha de datos persoais á autoridade de control de forma gradual, os prazos para comunicala ás persoas cuxos datos se viron afectados ou os relativos a que os encargados de tratamento informen os responsables cando se produce unha brecha.
A Axencia xestionou máis de 700 brechas de datos notificadas no primeiros cinco meses de 2021. A maioría delas producíronse por un ataque externo e intencionado sendo o ransomware a ameaza máis frecuente, comprometendo non só a dispoñibilidade senón tamén a confidencialidade dos datos persoais.