Brechas de datos personales

Última revisión

Una brecha de datos personales es un incidente de seguridad que afecta a datos de carácter personal, pudiendo producir daños sobre los derechos y libertades de las personas físicas cuyos datos son objeto del tratamiento.

No todos los incidentes de seguridad son necesariamente brechas de datos personales y no solo los ciberincidentes pueden ser brechas de datos personales. A su vez, no toda acción que suponga una vulneración de la normativa de protección de datos puede ser considerada una brecha de datos personales.

Una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales; por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos fundamentales y libertades públicas de las personas.

Las entradas en el blog proporcionan una introducción sencilla para iniciarse en la gestión de brechas de datos personales. La Guía para notificación de brechas de datos personales y las Directrices del Comité Europeo de Protección de Datos proporcionan información más completa.

Obligaciones

El Reglamento (UE) 2016/679, General de Protección de Datos establece en sus artículos 33 y 34 la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de notificar a la Autoridad de Control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.

Con carácter general, en el ámbito privado, los responsables del tratamiento afectado por la brecha deberán notificar a la Agencia Española de Protección de Datos:

  • Cuando su único establecimiento esté localizado en España.
  • Si tienen varios establecimientos en la Unión Europea, únicamente cuando el establecimiento principal esté localizado en España.
  • Si no tienen establecimiento principal en la Unión Europea, sólo en el caso de que hayan designado un representante en España.
  • Si no tienen establecimiento ni representante en la Unión Europea, en el caso de que la brecha de datos personales cuente con afectados en España.

El responsable de un tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

Los responsables de tratamiento con establecimiento principal en otro Estado Miembro de la Unión Europea, o que no tengan un establecimiento en la Unión, pero hayan nombrado un representante en otro Estado Miembro, deberán notificar a la Autoridad de Control de dicho Estado Miembro.

La notificación de una brecha de datos personales a la Autoridad de Control conforme al artículo 33 del RGPD corresponde al responsable del tratamiento. El responsable puede autorizar una persona física, representante o entidad que ejerza su representación para que realice la notificación de la brecha de datos personales ante la Autoridad de Control.

La notificación de brechas de datos personales no es un trámite dirigido a terceros ajenos al responsable de tratamiento, ni a ciudadanos o afectados por una brecha de datos personales.

En el ámbito público, con carácter general las AAPP deben notificar las brechas de datos personales a la Agencia Española de Protección de Datos a excepción del caso de las Comunidades Autónomas de Andalucía, Cataluña y País Vasco, cuando las brechas de datos personales se produzcan en entidades del sector público bajo su competencia, la Autoridad de Control a la que notificar será:

  • En el caso de Cataluña: la Autoridad Catalana de Protección de Datos (https://apdcat.gencat.cat/es/inici/) a través de su sede electrónica.
  • En el caso del País Vasco: la Agencia Vasca de Protección de Datos mediante el correo electrónico avpd@avpd.eus
  • En el caso de Andalucía: el Consejo de Transparencia y Protección de Datos de Andalucía a través de su ventanilla electrónica (https://www.ctpdandalucia.es/ventanilla-electronica).

Si además es probable que la brecha de datos personales entrañe un riesgo alto para los derechos y libertades de las personas físicas, el responsable deberá comunicar la brecha a las personas cuyos datos se hayan visto afectados para que puedan tomar sus propias medidas.

El parámetro determinante para notificar una brecha de datos personales a la Autoridad de Control o comunicarla a los afectados es el nivel de riesgo. No cualquier tipo de riesgo o un riesgo para la organización, sino específicamente el riesgo para los derechos y libertades de las personas físicas afectadas por la brecha.

El plazo para notificar a la Autoridad de Control es de 72 horas desde que la organización es conocedora de la brecha.

Además, existen otras disposiciones normativas que obligan a notificar brechas de seguridad a la AEPD, como el artículo 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones a los operadores de servicios de comunicaciones electrónicas disponibles al público.

En ambos casos, las notificaciones de brechas de datos personales por parte de organizaciones se realizan de forma telemática mediante el formulario de notificaciones de brechas de datos personales disponible en la Sede Electrónica.

La organización debe reflexionar sobre lo que ha sucedido, cuáles son las consecuencias para las personas cuyos datos se han visto afectados, qué medidas de seguridad técnicas u organizativas podrían haber evitado la brecha y la conveniencia de incorporarlas, y qué acciones tomar para evitar que las personas sufran los daños potenciales y evitar que el incidente se repita.

Lo que subyace a dicha obligación de notificación es un deber más amplio y que insta al responsable a implementar un procedimiento de gestión de incidentes de seguridad que afecten a datos de carácter personal adaptado a las características del tratamiento.

La finalidad última de la notificación y comunicación de brechas de datos personales es la protección efectiva de los derechos fundamentales y libertades de las personas físicas afectadas por la brecha.

Las organizaciones que sufran una brecha de datos personales deben focalizar sus esfuerzos en evitar y mitigar las posibles consecuencias sobre los derechos fundamentales y libertades públicas de las personas afectadas.

Blog y Preguntas frecuentes (FAQs)

Blog de la AEPD - Brechas de seguridad: el correo electrónico y las plataformas de productividad online [jun 2020]

Blog de la AEPD - Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta [abr 2020]

Blog de la AEPD -  Notificación de brechas de seguridad de los datos personales durante el estado de alarma [abr 2020]

Blog de la AEPD - Campañas de phishing sobre el COVID-19 [mar 2020]

Blog de la AEPD – Brechas de seguridad: comunicación a los interesados [feb 2020]

Blog de la AEPD – Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil [oct 2019]

Blog de la AEPD – Brechas de seguridad de datos personales: qué son y cómo actuar [jun 2019]

Blog de la AEPD – Brechas de seguridad: protégete ante el ransomware [may 2019]

Blog de la AEPD – Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte [mar 2017]

Preguntas frecuentes (FAQs)

Guías y herramientas

Guía para la Gestión y Notificación de Brechas de Datos Personales

Guidelines 01/2021 on Examples regarding Data Breach Notification adoptadas el 14 de enero de 2021 (finalizando consulta pública).

Herramienta Comunica-Brecha RGPD

Cómo gestionar una fuga de información en un despacho de abogados

Formulario de notificación de brechas de seguridad

Sede Electrónica

Datos de notificaciones