La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía para la notificación de brechas de datos personales, que publicó en 2018 coincidiendo con la plena aplicación del Reglamento General de Protección de Datos (RGPD). Esta nueva versión incluye la experiencia recogida en los primeros años de aplicación del Reglamento. En este post de Conversia te damos más información.  

Ransomware, la causa más común de brecha de seguridad

Una de las novedades que introdujo el RGPD es que, en caso de producirse una brecha de seguridad, el Responsable del Tratamiento tiene la obligación de comunicarla a la Autoridad de Control (la AEPD en el caso de España) en un plazo no superior a 72 horas después de que se haya tenido constancia de ella.

En este sentido, desde enero a mayo de 2021, la AEPD ha gestionado más de 700 brechas de datos notificadas por Responsables del Tratamiento, la mayoría de ellas producidas a raíz de ataques externos e intencionados, siendo el ransomware la amenaza más frecuente. Así lo dio a conocer la Agencia con motivo de la  publicación de una nueva versión de la Guía para la notificación de brechas de datos personales el pasado 25 de mayo, coincidiendo con el tercer aniversario de la plena aplicación del RGPD.

Según especificaron desde la AEPD,  “el principal propósito de esta actualización es la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica”. Asimismo, desde la autoridad de control recordaron que «cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada», recordando que el incidente “puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales».

No notificar una brecha de seguridad está tipificado con sanción

La Guía analiza qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial, explica cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, quién lo debe hacer y qué contenido debe incluir esa notificación. La Agencia recuerda que «las notificaciones de brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla no implica necesariamente la imposición de una sanción”. De hecho, hacerlo de forma correcta muestra la buena intención por parte del organismo que ha sufrido la brecha, mientras que no realizarlo sí que está tipificado con una sanción.

Puedes leer más noticias relacionadas con el RGPD y las brechas de seguridad en este blog de Conversia.