Hogan Lovells 2024 Election Impact and Congressional Outlook Report
Tras haber identificado los aspectos esenciales a tener en cuenta cuando se sufre una brecha de seguridad en nuestra entrada Básicos de Brechas de Seguridad (I) – ¿He sufrido una brecha? y esclarecer cuándo ésta ha de notificarse a la autoridad de control en Básicos de Brechas de Seguridad (II) – Notificación a la autoridad de control, nos vemos “obligados” a publicar una tercera entrega relativa a la tan temida comunicación a los interesados.
A lo largo de esta saga de entradas sobre brechas, hemos seguido la evolución de un problema que surge en el seno de una organización y que, si no es grave, puede solucionarse “en casa”; a encontrarnos ante una situación que requiere la notificación a y participación por parte de las autoridades (la AEPD); y, por último, a comunicarla a los afectados con los posibles efectos positivos o negativos que ello puede conllevar para la reputación de la empresa. El objetivo es evitar los problemas que ha producido, tradicionalmente, la opacidad de las compañías a reconocer públicamente una vulnerabilidad (como la AEPD explica en su blog).
Sin esta entrada, nuestros “Básicos” de brechas de seguridad quedarían del todo incompletos.
El art. 34.1 RGPD es claro respecto de este punto:
“cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.”
(el resaltado es nuestro)
Por tanto, en línea con lo que ocurre con las notificaciones a la autoridad de control, las comunicaciones a los interesados no resultan obligatorias y, para poder determinar si deben llevarse a cabo, es necesario efectuar un análisis previo que permita valorar la probabilidad de que entrañe un alto riesgo para los derechos y libertades de los interesados. Como siempre, es recomendable documentar este tipo de análisis para justificar las decisiones tomadas bajo la normativa de protección de datos.
Para ello, los responsables deberán analizar diversos factores como, por ejemplo:
Los factores objeto de análisis deberán ser asimismo ponderados con el riesgo que pudiera suponer la comunicación a los interesados en términos de compromiso de las investigaciones en curso.
Como resume la AEPD en sus FAQs, el objeto de la comunicación es “permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra”.
Sin perjuicio de lo anterior, ha de reconocerse que en algunos supuestos es posible que no resulte necesaria la comunicación a los afectados. En concreto, la AEPD indica en sus FAQs los siguientes casos:
La AEPD en su Guía para la gestión y notificación de brechas de seguridad incluye ejemplos de cuándo no es necesario llevar a cabo la comunicación a los afectados. Asimismo, las Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 (WP250rev.01) contienen algunos ejemplos de brechas que probablemente entrañen alto riesgo y por tanto deban comunicarse a los afectados.
En estos casos, la AEPD podrá exigir al responsable que comunique la brecha a los afectados o que se cumplan algunas condiciones para que la comunicación a los afectados no sea obligada.
El RGPD no exige que la comunicación, a diferencia de las notificaciones a la autoridad de control, se lleve a cabo en un plazo máximo de tiempo. Eso sí, como ya resaltábamos al comienzo de esta entrada, exige que se realice “sin dilación indebida” (esto es, lo antes posible).
La comunicación se ha de realizar en un lenguaje claro y sencillo. Además, ha de ser específico y no “ocultarse” entre otra información que se envíe (p.ej. boletines informativos o mensajes normalizados).
La notificación se debe realizar preferentemente de forma directa al afectado. La notificación indirecta, vía avisos públicos en sitios web, blogs corporativos, o comunicados de prensa, se utilizará cuando los costes para la notificación directa sean excesivos o cuando no sea posible contactar con los afectados (p.ej. porque se desconocen o los datos de contacto no están actualizados).
A la hora de comunicar a los afectados que se ha producido una brecha de seguridad, el responsable debe facilitar, al menos, la siguiente información:
Esperamos que nuestras tres nuevas entradas de “Básicos” sean de utilidad y sirvan para tener una primera aproximación a cómo se debe actuar en caso de sufrir una brecha de seguridad. No hay que tener miedo a la brechas de seguridad, solo hay que estar preparado.
Escrito por Patricia Suárez, Santiago de Ampuero y Víctor Mella