NOVEDADES
ACTUALIZACIÓN GUÍA BRECHA SEGURIDAD AEPD
julio 22, 2021 - Legal - Mercantil
La Agencia Española de Protección de Datos (AEPD) actualiza su Guía para la notificación de brechas de datos personales

Fecha: 20.07.2021 Legal – Mercantil

La Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado una nueva versión de su Guía para la notificación de brechas de datos personales, que fue divulgada en el año 2018, momento en el cual comenzó a aplicarse el Reglamento Europeo de Protección de Datos (en adelante, RGPD), con el objetivo de ayudar a las organizaciones a cumplir con las obligaciones impuestas por la nueva normativa europea en este ámbito.

La experiencia acumulada durante este tiempo, tanto a nivel nacional como europeo, ha permitido a la AEPD elaborar nuevas pautas para que los Responsables del tratamiento puedan cumplir de forma más eficiente con las obligaciones establecidas en los arts. 33 y 34 RGPD, esto es, (i) la notificación a la Autoridad de Control (en nuestro país, la propia AEPD) y (ii) la comunicación a los afectados, en los casos en que tenga lugar una violación de la seguridad de los datos personales.

Por tanto, detrás de esta actualización de la Guía para la notificación de brechas de datos personales existe un triple propósito, a saber, (i) la protección efectiva de los derechos y las libertades de las personas, (ii) el conocimiento, por parte de las entidades, de las vulnerabilidades a las que están expuestos sus sistemas de tratamiento, lo que les permitirá adoptar medidas adecuadas para controlarlas y (iii) la garantía de seguridad jurídica para las organizaciones, al disponer de indicaciones precisas que les permitan demostrar diligencia en el cumplimiento de sus deberes.

La Guía comienza ofreciendo una definición de qué es una brecha de datos personales, remitiendo al art. 4.12 RGPD, que considera como tal toda aquella violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Asimismo, la Guía establece un marco genérico sobre cómo se debe actuar en caso de que exista una brecha de datos personales. En este sentido, prescribe la obligación de evaluar su impacto una vez detectada, para seguidamente señalar que, durante su resolución, se debe documentar el proceso con toda la información que se vaya recopilando, la cual deberá ser adjuntada al registro de incidentes que deben mantener los Responsables del tratamiento.

De igual modo, la AEPD dispone que, en dicho registro, también debe recogerse, de forma detallada, la información relativa a las decisiones tomadas sobre la notificación de la brecha a la Autoridad de Control y su comunicación a los afectados (incluida una copia de esta última, de realizarse).

A este respecto, la Guía ofrece directrices relativas a “qué, quién, cuándo, cómo y ante quién” se debe notificar, al mismo tiempo que trata las obligaciones que recaen sobre el Responsable del tratamiento una vez que ha notificado la brecha. De igual modo, ofrece pautas en relación con “qué, quién, cuándo y cómo” se debe comunicar la brecha a los afectados.

En pleno desarrollo de las TIC, las brechas de datos personales constituyen un verdadero problema. Durante los meses de enero a mayo de este año, la AEPD ha gestionado más de 700 brechas de datos notificadas, siendo la mayoría de ellas producidas por ataques externos intencionados.


© Martínez Comín