Brechas de seguridad: comunicación a los interesados

Durante 2019 se realizaron más de veinte millones de comunicaciones de brechas de seguridad directamente de los responsables establecidos en España a los ciudadanos, por los que estos últimos se han beneficiado de la obligación establecida en el RGPD de comunicar brechas a la autoridad de control y, cuando proceda, a los interesados. Esta medida está teniendo una incidencia positiva en la protección de los derechos y libertades de éstos, reduce el impacto de las brechas de seguridad y constituye un ejercicio transparencia que aumenta la confianza y la resiliencia en los tratamientos de datos personales.

I. ¿Qué es la comunicación a los interesados?

En los artículos 33 y 34 del RGPD se regulan las obligaciones de los responsables y encargados de tratamientos al sufrir una brecha de seguridad. Estas obligaciones se sitúan dentro del principio de responsabilidad proactiva y el marco de gestión de riesgos para los derechos y libertades. Para más información, consulte la guía para la gestión y notificación de brechas de seguridad, y las guías prácticas de análisis de riesgos y evaluación de impacto en la protección de datos publicadas por la AEPD.

Si el artículo 33 se establece en qué situaciones debe notificarse a la autoridad de control ante la existencia de una brecha de seguridad, el artículo 34 instaura la obligación por parte del responsable de informar y advertir, cuando exista un alto riesgo para sus derechos y libertades, a las personas físicas cuyos datos han sido objeto de una brecha de seguridad para que puedan tomar sus propias medidas.

II. ¿En qué contribuye la comunicación a los interesados?

La obligación de comunicar a los interesados establecida en el RGPD aporta un valor añadido de transparencia a las personas cuyos datos son objeto de los tratamientos, permitiendo conocer si sus datos han podido ser revelados a terceros, o han dejado de estar disponibles temporal o permanentemente. Servicios ampliamente usados como monitor de Firefox o HaveIbeenpwned ponen de manifiesto la creciente preocupación de las personas por la privacidad y la demanda de transparencia en los tratamientos.

La opacidad, con la que en ocasiones se han abordado las brechas de seguridad por parte de algunas organizaciones, ha podido causar un riesgo muy elevado a los afectados al no haber sido informados y no haber podido adoptar las medidas necesarias para protegerse. Un ejemplo de esta falta de trasparencia fue el ataque sufrido y detectado por Yahoo en 2014, que afectó a más de 500 millones de usuarios, que no tuvieron conocimiento de la exposición de sus datos personales hasta 2016. Con el RGPD se pretende que una situación como la descrita no vuelva a producirse.

La obligación de comunicación a los interesados, además, tiene un efecto colateral muy positivo para las organizaciones, y es el servir de apoyo a aquellas políticas internas que fomentan la implantación de modelos de gestión y gobernanza de los datos efectivos y diligentes. De esta forma, el responsable obtiene un beneficio directo, ya no sólo por el cumplimiento de las obligaciones legales. El impacto sobre la reputación ha pasado a ser una de las mayores preocupaciones para las entidades y esta obligación permite mantener la relación de confianza que los interesados han depositado en ellas.

Las más veinte millones de comunicaciones a los interesados ejecutadas de forma proactiva por parte de responsables de tratamiento establecidos en España, según la información de las notificaciones de brechas de seguridad a la AEPD, y aproximadamente las 12.000 comunicaciones a interesados ordenadas por esta Agencia en las casi 1.500 notificaciones de brechas de seguridad recibidas en 2019, ponen de manifiesto que esta herramienta es un instrumento eficaz para la protección de los derechos y libertades de los ciudadanos.

 Este post forma parte de un monográfico sobre brechas de seguridad:

Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil
Brechas de seguridad de datos personales: qué son y cómo actuar
Brechas de seguridad: protégete ante el ransomware