La entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante RPGD) en mayo del 2016, trajo consigo tal cambio de paradigma en lo relativo a regulación y armonización de la normativa en materia de protección de datos en todos los países miembros de la UE, que, aún a día de hoy, transcurridos tres años desde su entrada en vigor y un año desde su plena aplicación, pasando a ser directamente aplicable en todos y cada uno de los estados miembros, nos es muy difícil predecir cómo las autoridades de control van a manifestarse y proceder a sancionar todos y cada uno de los incumplimientos de las obligaciones contenidas en el mismo.
En nuestro país, no ha sido hasta el pasado 7 de diciembre del 2018 hasta que nos hemos dotado de una regulación a nivel nacional tras la entrada en vigor del RGPD. La nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales (en adelante, LOPDGDD) tiene, como principal objetivo, el adaptar nuestro ordenamiento jurídico español en materia de protección de datos al RGPD, así como garantizar los derechos digitales de los ciudadanos, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española, precepto que limita el uso de la informática con el fin de garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de los derechos.
La LOPDGDD incorpora grandes cambios respecto a las exigencias contenidas tanto en la ya derogada LOPD 15/1999 como en su Reglamento de Desarrollo, siendo el más significativo, el desarrollo en su Título X de la garantía de los derechos digitales de los ciudadanos.
No es motivo de este artículo proceder a enumerar todos los cambios normativos que la nueva LOPDGDD introduce respecto de la anterior normativa, al ya haber sido objeto de análisis en varias publicaciones (ver aquí, ver aquí), pero sí consideramos interesante el realizar un sucinto análisis del cambio que se ha producido respecto a la notificación y gestión de las brechas de seguridad, así como realizar un breve resumen de las brechas que han sido notificadas ante la Agencia Española de Protección de Datos (en adelante, AEPD) a lo largo del pasado año desde la plena aplicación del RGPD.
En primer lugar, debemos hacer una clara diferencia entre “incidente de seguridad” y “brecha de seguridad”, puesto que son dos términos que tienen a confundirse.
El Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica define un “incidente de seguridad” como “aquel suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”. Por el contrario, es el RGPD el que define, en su artículo 4.12 las “violaciones de seguridad de los datos personales” como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” .
Podemos observar que la principal diferencia entre ambos conceptos radica en que una brecha de seguridad solo se aplicará en el supuesto en el que vean afectados datos de carácter personal, por lo tanto, una brecha de seguridad va a ser en todo caso un incidente de seguridad; sin embargo, cuando hablamos de un incidente de seguridad pueden no verse afectados datos de carácter personal y por tanto no incluir el concepto de brecha.
Para poder clasificar las brechas de seguridad, deberemos atender a las siguientes tipologías de datos que se han visto afectados:
- Brecha de confidencialidad, cuando se producen accesos a datos de carácter personal no autorizados o ilícitos por parte de terceros.
- Brecha de integridad, en aquellos supuestos en los que se produzca la pérdida, destrucción o un daño accidental de información que contenga datos de carácter personal.
- Brecha de disponibilidad, cuando se impida el acceso a datos originales en caso de ser necesario.
Para valorar el alcance o la peligrosidad de una brecha de seguridad, debemos atender a los siguientes criterios, recogidos en la Guía para la gestión y notificación de brechas de seguridad, publicada por la AEPD:
- Nivel de criticidad con relación a la seguridad de los sistemas que se han visto afectados.
- Naturaleza, categoría y volumen de los datos de carácter personal que se han visto afectados.
- Protección o medidas de seguridad adoptadas que afecten a la legibilidad los datos afectos.
- Dificultad de identificación de un individuo.
- Severidad (baja, media, alta y muy alta) de las consecuencias que puede conllevar la brecha de seguridad en la protección de datos personales de los individuos, así como identificación de las características especiales de los mismos.
- Número y perfil de los individuos afectados.
- Cantidad y tipología de los sistemas afectados.
- Impacto que la brecha puede llegar a ocasionar en la entidad (bajo, medio o alto).
El Reglamento de Desarrollo de la LOPD 15/1999 establecía la obligación de incluir dentro del documento de seguridad un procedimiento de notificación, gestión y respuesta a las incidencias de seguridad, así como un mantenimiento de un registro interno de incidencias.
Desde la plena aplicación del RGPD, esta obligación deja de ser exigible al responsable del tratamiento, pero, de cara al cumplimiento del principio de responsabilidad proactiva o “accountability” del responsable, este registro deberá seguir llevándose a cabo.
Los artículos 33 y 34 del RGPD indican en qué supuestos el responsable deberá comunicar la brecha de seguridad tanto a la autoridad de control como a los interesados afectados por la misma.
El artículo 33 del RGPD otorga al responsable del tratamiento un plazo de 72 horas desde que tiene conocimiento de la brecha, para comunicarla a la autoridad de control, siempre y cuando dicha violación constituya un riesgo a los derechos y libertades de las personas.
El contenido mínimo de la notificación deberá incluir:
- Descripción de la naturaleza de la violación.
- Datos del responsable o, en su caso, del Delegado de Protección de Datos.
- Consecuencias de la violación.
- Descripción de las medidas adoptadas de cara a la mitigación de las consecuencias derivadas de la violación.
El artículo 34 indica, a diferencia del precepto arriba indicado, que las brechas de seguridad deberán comunicarse a los interesados, siempre y cuando la misma constituya un alto riesgo para los derechos y libertades de las personas, siendo necesario proporcionar toda la información contenida en el artículo 33, excluyendo la descripción de la naturaleza, categorías, y número aproximado de interesados y registros afectados.
Ahora bien, ¿quién tiene obligación de notificar este tipo de brechas de seguridad?
Antes de la entrada en vigor del RGPD, los operadores y prestadores de servicios obligados a notificar ante la AEPD, eran los siguientes:
- Operadores de servicios de comunicaciones electrónicas (regulados en la Ley 9/2014, General de Telecomunicaciones, en adelante, LGT).
- Prestadores de servicios de confianza (regulados en el Reglamento 910/2014 del Parlamento Europeo y del Consejo)
- Prestadores de servicios de la Sociedad de la Información (regulados en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico).
Con la plena aplicación del RGPD, la obligación de notificación ante la autoridad de control pasa a ser un requisito obligatorio a todo responsable que trate datos de carácter personal.
En todo caso, los operadores de servicios de comunicaciones electrónicas deberán seguir rigiéndose por las obligaciones específicas contenidas en la LGT, que, en ocasiones, diferirá de las obligaciones dispuestas por el RGPD.
Además, los operadores de servicios esenciales y proveedores de servicios digitales (regulados en la Directiva UE 2016/1148 del Parlamento Europeo y del Consejo) tienen obligación de notificar dichos incidentes a los equipos de respuesta a incidentes de seguridad informática (CSIRT) y, los prestadores de servicios de sociedad de la información, regulados en la Ley 34/2002, de Servicios de la Sociedad del a información y del Comercio Electrónico, podrán, con carácter voluntario, notificarlas a los equipos de respuesta a emergencias informáticas (CERT), teniendo obligación de colaborar con éstos a la hora de resolución de incidencias en materia de ciberseguridad.
La AEPD ha elaborado un Sumario de las notificaciones de brechas de seguridad que les han sido han comunicadas durante el pasado año, desde la entrada en vigor del RGPD. A continuación, exponemos algunas de las cuestiones más relevantes:
- La AEPD ha recibido un total de 547 notificaciones, de las cuales, prácticamente un 90% de las mismas se han realizado por entidades privadas y mediante el formulario de sede electrónica.
- Atendiendo a la tipología de la brecha, podemos observar que las relativas a la confidencialidad de los datos son las brechas que más se han comunicado a la autoridad de control (71% de las comunicaciones, frente a un 10% de las mismas, relativas a las brechas que afectan a la integridad de los datos).
- Los principales medios de materialización de las brechas han sido, en primer lugar, el robo o pérdida de dispositivos, seguido de la aparición de “softwares maliciosos” o “malwares”.
- Atendiendo a las categorías de datos afectados, únicamente un 16% de las brechas comunicadas afectarían a categorías especiales de datos, y, en todo caso, prácticamente la totalidad de los mismos, serían relativos a datos de salud.
- Los perfiles más comunes de los afectados que han sufrido una brecha seguridad son, en primer lugar, los clientes, seguido de los empleados y de los usuarios, pero, en todo caso, la AEPD indica que la severidad de las consecuencias de las brechas de seguridad en su mayor parte, son de carácter bajo.
- El número de individuos que se han visto afectados por las brechas de seguridad, por lo general, no suele ascender a más de 1000, correspondiendo con un 76% los supuestos en los que el número de afectados está por debajo de dicha cifra.
Por último, no debemos concluir el artículo sin comentar que, a pesar de la regulación de las brechas de seguridad contenidas en la normativa de protección de datos, la AEPD no ha terminado de especificar los supuestos que entrañan un riesgo, de cara a garantizar los derechos y libertades de los ciudadanos, con el fin de conocer cuándo proceder a la notificación ante la autoridad de control, así como tampoco se ha pronunciado con relación a los supuestos que pueden conllevar un alto riesgo, en aras de conocer cuándo proceder a su comunicación a los interesados. Por analogía, podríamos aplicar el criterio que ha utilizado la AEPD con relación a los tipos de tratamientos de datos que requieren una Evaluación de Impacto relativa a la protección de datos, indicando una serie de criterios no exhaustivos, complementando a los establecidos por el Grupo de Trabajo del Artículo 29 en su guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD”, que sería los siguientes:
- Tratamientos que impliquen perfilado o valoración de sujetos.
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
- Tratamientos que impliquen el uso de categorías especiales de datos (art. 9.1 RGPD), datos relativos a condenas o infracciones penales (art. 10 RGPD) o datos que permitan determinar la situación financiera o de solvencia patrimonial.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física, así como datos genéticos para cualquier fin.
- Tratamientos que impliquen el uso de datos a gran escala.
- Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.