L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat hui una actualització de la seua ‘Guía per a la notificació de bretxes de dades personals’, un document que té com a objectiu guiar als responsables dels tractaments de dades personals en la seua obligació de notificar-les a les autoritats de protecció de dades i comunicar-li-ho a les persones les dades de les quals s'hagen vist afectats. Esta guia actualitza la versió publicada en 2018, quan va començar a aplicar-se el Reglament General de Protecció de Dades (RGPD), i inclou l'experiència arreplegada en este temps, tant a nivell nacional com en relació amb els criteris establits pel Comité Europeu de Protecció de Dades.
El principal propòsit d'esta actualització és facilitar el compliment de forma eficaç i eficient dels objectius últims de la notificació de bretxes de dades personals: la protecció efectiva dels drets i llibertats de les persones, la creació d'un entorn més resiliente basat en el coneixement de les vulnerabilitats de l'organització i la garantia d'una seguretat jurídica en disposar els responsables d'un mitjà per a demostrar diligència en el compliment de les seues obligacions.
Qualsevol organització es troba exposada a patir una bretxa de dades personals que puga repercutir en els drets i llibertats de les persones, i està obligada a gestionar-la de forma adequada. Este incident pot tindre un origen accidental o intencionat i, generalment, ocasiona la destrucció, pèrdua, alteració, comunicació o l'accés no autoritzat a dades personals. La Guia comença analitzant què és una bretxa de dades personals i què no ho és en el context del marc normatiu europeu, nacional i sectorial. A continuació analitza quan cal notificar aquesta bretxa a l'autoritat de control, en quin termini, o qui i quin contingut ha d'incloure eixa notificació. Quant a la comunicació a les persones afectades, el document arreplega en quins casos cal realitzar-la, el contingut i els seus terminis.
Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilitat proactiva establida en el RGPD, i el fet de notificar-la o comunicar-la no implica necessàriament la imposició d'una sanció. De fet, fer-ho dins del termini establit i en la forma escaient és una evidència de la diligència de l'organització, mentre que no complir amb eixa obligació sí està tipificat com a infracció.
La Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.
L'Agència ha gestionat més de 700 bretxes de dades notificades en els primers cinc mesos de 2021. La majoria d'elles s'han produït per un atac extern i intencionat sent el ransomware l'amenaça més freqüent, comprometent no solament la disponibilitat sinó també la confidencialitat de les dades personals.
