accesskey_mod_content

A AEPD publica unha nova versión do seu guía para notificar brechas de datos persoais

26 maio 2021

As notificacións e comunicacións de brechas que afectan a datos persoais son parte da responsabilidade proactiva establecida no Regulamento Xeral de Protección de Datos (RGPD).

A Axencia Española de Protección de Datos (AEPD) publicou hoxe unha actualización do seu ‘Guía para a notificación de brechas de datos persoais’, un documento que ten como obxectivo guiar aos responsables dos tratamentos de datos persoais na súa obriga de notificalas ás autoridades de protección de datos e comunicarllo ás persoas cuxos datos se viron afectados. Esta guía actualiza a versión publicada en 2018, cando comezou a aplicarse o Regulamento Xeral de Protección de Datos (RGPD), e inclúe a experiencia recollida neste tempo, tanto a nivel nacional como en relación cos criterios establecidos polo Comité Europeo de Protección de Datos.

O principal propósito desta actualización é facilitar o cumprimento de forma eficaz e eficiente dos obxectivos últimos da notificación de brechas de datos persoais: a protección efectiva dos dereitos e liberdades das persoas, a creación dunha contorna máis resiliente baseado no coñecemento das vulnerabilidades da organización e a garantía dunha seguridade xurídica ao dispor os responsables dun medio para demostrar dilixencia no cumprimento das súas obrigas.

Calquera organización atópase exposta a sufrir unha brecha de datos persoais que poida repercutir nos dereitos e liberdades das persoas, e está obrigada a xestionala de forma adecuada. Este incidente pode ter unha orixe accidental ou intencionada e, xeralmente, ocasiona a destrución, perda, alteración, comunicación ou o acceso non autorizado a datos persoais. A Guía comeza analizando que é unha brecha de datos persoais e que non o é no contexto do marco normativo europeo, nacional e sectorial. A seguir analiza cando hai que notificar dita brecha á autoridade de control, en que prazo, ou quen e que contido debe incluír esa notificación. No relativo á comunicación ás persoas afectadas, o documento recolle en que casos hai que realizala, o contido e os seus prazos.

As notificacións e comunicacións relativas a brechas que afectan a datos persoais forman parte de a responsabilidade proactiva establecida no RGPD, e o feito de notificala ou comunicala non implica necesariamente a imposición dunha sanción. De feito, facelo en tempo e forma é unha evidencia da dilixencia da organización, mentres que non cumprir con esa obriga si está tipificado como infracción.

A Guía ofrece directrices para facilitar e simplificar o cumprimento destas obrigas e, entre outros puntos, orienta sobre algúns prazos que o RGPD deixa abertos, como a notificación dunha brecha de datos persoais á autoridade de control de forma gradual, os prazos para comunicala ás persoas cuxos datos se viron afectados ou os relativos a que os encargados de tratamento informen os responsables cando se produce unha brecha.

A Axencia xestionou máis de 700 brechas de datos notificadas no primeiros cinco meses de 2021. A maioría delas producíronse por un ataque externo e intencionado sendo o ransomware a ameaza máis frecuente, comprometendo non só a dispoñibilidade senón tamén a confidencialidade dos datos persoais.

Comunicación aos afectados

Como complemento á presente Guía, a Axencia dispón dunha ferramenta chamada ‘Comunica-Brecha RGPD’, que ofrece axuda ás organizacións para decidir se deben comunicar ou non unha brecha de datos ás persoas afectadas, unha obriga independente á de notificar a dita brecha á autoridade de control.

Este recurso baséase nun breve formulario no que se solicitan detalles que permiten aplicar uns criterios básicos indicativos do risco asociado á brecha. Ao completar o formulario, e en función da información que fose facilitada, a ferramenta aconsellará tres posibles escenarios: que se debe notificar a brecha de seguridade ás persoas afectadas ao apreciarse un risco alto; que non é necesaria dita comunicación, ou que non se pode determinar o nivel de risco. A decisión final debe tomala o responsable en función dos aspectos específicos do tratamento e da brecha concreta. En ningún caso a Axencia almacena os datos consignados durante o proceso.

Fonte orixinal da noticia(Abre en nova xanela)

  • Cidadán
  • Seguridade