¿Cómo responde la AEPD ante la notificación de una brecha de seguridad?

Recién estrenado el 2020 y como en años anteriores la Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos emite un informe anual en el que se resumen las características principales de las notificaciones de brechas de seguridad recibidas por la Agencia Española de Protección de Datos (AEPD) en virtud del artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante RGPD).

Pues bien, a la espera de que la AEPD publique el correspondiente informe anual y en base a los datos extraídos de los informes mensuales emitidos hasta el mes de noviembre de este último año tan sólo 79 de las 1296 notificaciones de brecha de seguridad han sido trasladadas a la Subdirección General de Inspección de Datos (en adelante SGID) para el esclarecimiento de los hechos al apreciar la existencia de riesgo alto para los derechos y libertades de los ciudadanos o que se requiere una investigación adicional para determinar la existencia de dicho riesgo.

 BRECHAS NOTIFICADAS ANTE LA AEPD TRASLADADAS A SGID
 Enero78 8
 Febrero101 13
 Marzo113 3
 Abril95 7
 Mayo84 0
 Junio92 15
 Julio83 14
 Agosto42 0
 Septiembre133 8
 Octubre266 7
Noviembre209 4
TOTAL1296 79

¿Pero cómo determinar si existe un riesgo alto para los derechos y libertades de los ciudadanos?

El anterior grupo de trabajo sobre protección de datos del artículo 29 (actual CEPD) en sus Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 (WP 250) destina un apartado en concreto a la evaluación del riesgo y riesgo alto señalando en este sentido que factores hay que tener en cuenta a la hora de evaluar el riesgo y destacando que a la hora de evaluar el mismo, debe tenerse en cuenta tanto la probabilidad como la gravedad del riesgo para los derechos y las libertades de los interesados. Además, se señala que el riesgo debe evaluarse sobre la base de una valoración objetiva. (considerandos 75 y 76 RGPD).

Cabe señalar en contraposición que la evaluación del riesgo para los derechos y las libertades de las personas como resultado de una violación tiene un enfoque diferente del riesgo considerado en una EIPD. En la EIPD se consideran tanto los riesgos de que el tratamiento de datos se lleve a cabo según lo previsto, como los riesgos en caso de que se produzca una violación. A la hora de considerar una posible violación, en términos generales, se examina la probabilidad de que esto ocurra y los daños y perjuicios que podrían derivarse para el interesado; en otras palabras, se trata de la evaluación de un acontecimiento hipotético.

En caso de violación real, el hecho ya se ha producido, por lo que la atención se centra exclusivamente en el riesgo derivado del impacto de la violación en las personas.

Por tanto, a la hora de evaluar el riesgo que puede entrañar una violación, el responsable del tratamiento debe tener en cuenta una combinación de la gravedad del impacto potencial en los derechos y las libertades de las personas y la probabilidad de que este se produzca.

En el Anexo B de las citadas directrices se proporcionan algunos ejemplos útiles de diferentes tipos de violaciones que nos pueden ayudar a distinguir entre riesgo o riesgo alto para los derechos y libertades de las personas.

Pero volviendo de nuevo al inicio de este post, ¿Qué criterios sigue la AEPD a la hora de resolver las actuaciones de investigación previa orientados a esclarecer los hechos que presuntamente pudieran infringir la normativa en materia de protección de datos por parte de la persona u órgano que pudiera resultar responsable?

LA AEPD inicia investigación conforme a los poderes y funciones que tiene atribuidos en el artículo 58 del RGPD y según lo dispuesto en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), siendo competente para resolver estas actuaciones de investigación la Directora de la Agencia Española de Protección de Datos.

Concretando más lo referente a los poderes de investigación conferidos a la AEPD, y por lo que respecta al ejercicio de los poderes correctivos, una de sus manifestaciones es el ejercicio de la potestad sancionadora siendo competencia de la Directora la iniciación y resolución de estos procedimientos, cuyos actos de instrucción se realizan por personal de la Subdirección General de Inspección de Datos.

Pero aquí es importante reseñar que la notificación de una brecha de seguridad no implica de forma directa la imposición de una sanción por parte de la AEPD.

De hecho, si hacemos un análisis de las 79 notificaciones de brechas de seguridad acaecidas hasta la fecha en este último año y que han pasado a la SGID, tras las actuaciones previas para el esclarecimiento de los hechos se acuerda prácticamente en su totalidad proceder al archivo de las actuaciones, concluyendo la actuación por parte de responsables o encargados de diligente y acorde con la normativa sobre protección de datos.

Por tanto, la decisión final será el resultado de analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas para evitar el incidente de seguridad cumpliendo el principio de responsabilidad activa y evitando posibles perjuicios para los derechos y deberes de los interesados.

En este sentido el RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo. (artículo 5.2 RGPD).

Así a modo de resumen del análisis del resultado de las actuaciones de investigación previas de las quiebras notificadas y trasladas al SGID conviene destacar la importancia de valorar no sólo la adopción de medidas preexistentes al incidente de seguridad sino también de aquellas medidas técnicas y organizativas para afrontar el mismo lo que nos va a permitir la detección, identificación, análisis y clasificación de la brecha de seguridad de datos personales, así como la diligente reacción ante la misma al objeto de notificar y minimizar el impacto e implementar las medidas razonables oportunas para evitar que se repita en el futuro a través de la puesta en marcha de un plan de actuación previamente definido por las figuras implicadas (Responsable y Encargado del tratamiento). En este sentido el informe final tras el seguimiento y cierre sobre la brecha y su impacto es una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos futuros. El uso de esta información servirá para prevenir la reiteración del impacto de una brecha.

Ligado al principio de responsabilidad proactiva del RGPD, también debemos destacar que independientemente de si una violación debe notificarse o no a la autoridad de control, el responsable del tratamiento debe conservar la documentación de todas las violaciones (art. 33.5 RGPD).

La finalidad de registrar las violaciones no notificables, así como las notificables, también está relacionada con las obligaciones del responsable del tratamiento con arreglo al artículo 24 del RGPD, y las autoridades de control pueden solicitar ver dichos registros. Por consiguiente, se alienta a los responsables a que establezcan un registro interno de violaciones, independientemente de si están obligados a notificarlas o no.