Una novedad del Reglamento General de Protección de Datos es la obligación de que todo responsable de tratamiento debe notificar las violaciones de seguridad tanto a la autoridad de control competente (art.33 RGPD) como a los interesados/afectados (Art.34 RGPD).
Actualmente, la Directiva 2002/58/CE establece la obligación de notificar las quiebras de seguridad sólo respecto de los proveedores de servicios de comunicaciones electrónicas disponibles para el público, obligación incorporada al Derecho español por la reforma del artículo 34 de la Ley General de Telecomunicaciones. Para ello la AEPD tiene establecido un sistema de notificación de quiebras de seguridad a través de su Sede Electrónica.
La norma europea define violación de la seguridad de los datos personales, como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
La obligación recogida en el RGPD consiste en que el responsable del tratamiento, ante cualquier violación de seguridad, deberá notificarla ante la autoridad competente de su país. Una vez más el RGPD recurre al término sin dilación indebida para indicar el plazo de notificación, estableciendo un máximo de 72 horas desde que se tuvo constancia de la violación. Si se realiza la notificación pasadas esas 72 horas, la misma deberá ir acompañada de la justificación del retraso.
También el encargado de tratamiento deberá notificar al responsable del tratamiento, si o sí, sin dilación indebida las violaciones de seguridad de las que tenga conocimiento.
En el apartado 1 del artículo 33 del RGPD encontramos como excepción a esta notificación que “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Es decir, la norma europea deja a criterio, discusión y decisión de notificar al propio responsable del tratamiento. Un punto débil que esperemos que la AEPD refuerce.
Respecto al contenido mínimo de las notificaciones:
1. Naturaleza de la violación de la seguridad de los datos personales.
2. Cuando sea posible:
a. Las categorías y el número aproximado de interesados afectados.
b. Las categorías y el número aproximado de registros de datos personales afectados.
3. Nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
4. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
5. Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales.
6. Las medidas adoptadas para mitigar los posibles efectos negativos, si procede.
El RGPD habilita a que si no se conoce toda la información en el plazo establecido para la notificación, se pueda completar la misma de forma gradual.
Por último, en cualquier caso el responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el RGPD a este respecto