Tras haber identificado los aspectos esenciales a tener en cuenta cuando se sufre una brecha de seguridad en nuestra entrada Básicos de Brechas de Seguridad (I) – ¿He sufrido una brecha? y esclarecer cuándo ésta ha de notificarse a la autoridad de control en Básicos de Brechas de Seguridad (II) – Notificación a la autoridad de control, nos vemos “obligados” a publicar una tercera entrega relativa a la tan temida comunicación a los interesados.

A lo largo de esta saga de entradas sobre brechas, hemos seguido la evolución de un problema que surge en el seno de una organización y que, si no es grave, puede solucionarse “en casa”; a encontrarnos ante una situación que requiere la notificación a y participación por parte de las autoridades (la AEPD); y, por último, a comunicarla a los afectados con los posibles efectos positivos o negativos que ello puede conllevar para la reputación de la empresa. El objetivo es evitar los problemas que ha producido, tradicionalmente, la opacidad de las compañías a reconocer públicamente una vulnerabilidad (como la AEPD explica en su blog).

Sin esta entrada, nuestros “Básicos” de brechas de seguridad quedarían del todo incompletos.

¿Debo comunicar a los interesados que he sufrido una brecha?

El art. 34.1 RGPD es claro respecto de este punto:

“cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.”

(el resaltado es nuestro)

Por tanto, en línea con lo que ocurre con las notificaciones a la autoridad de control, las comunicaciones a los interesados no resultan obligatorias y, para poder determinar si deben llevarse a cabo, es necesario efectuar un análisis previo que permita valorar la probabilidad de que entrañe un alto riesgo para los derechos y libertades de los interesados. Como siempre, es recomendable documentar este tipo de análisis para justificar las decisiones tomadas bajo la normativa de protección de datos.

Para ello, los responsables deberán analizar diversos factores como, por ejemplo:

  • Si existen obligaciones legales y contractuales que resulten de aplicación a raíz de la brecha de seguridad.
  • Riesgos existentes por la pérdida de los datos (p.ej. daños reputacionales).
  • Si existe, o no, un riesgo razonable de suplantación de identidad o fraude según la naturaleza de los datos personales comprometidos.
  • Si los afectados pueden, o no, evitar o mitigar posibles daños que pudieran producirse posteriormente.

Los factores objeto de análisis deberán ser asimismo ponderados con el riesgo que pudiera suponer la comunicación a los interesados en términos de compromiso de las investigaciones en curso.

Como resume la AEPD en sus FAQs, el objeto de la comunicación es “permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra”.

¿Cuándo no es necesario comunicar a los interesados?

Sin perjuicio de lo anterior, ha de reconocerse que en algunos supuestos es posible que no resulte necesaria la comunicación a los afectados. En concreto, la AEPD indica en sus FAQs los siguientes casos:

  • El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

La AEPD en su Guía para la gestión y notificación de brechas de seguridad incluye ejemplos de cuándo no es necesario llevar a cabo la comunicación a los afectados. Asimismo, las Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 (WP250rev.01) contienen algunos ejemplos de brechas que probablemente entrañen alto riesgo y por tanto deban comunicarse a los afectados.

En estos casos, la AEPD podrá exigir al responsable que comunique la brecha a los afectados o que se cumplan algunas condiciones para que la comunicación a los afectados no sea obligada.

¿Cuándo y cómo la comunico?

El RGPD no exige que la comunicación, a diferencia de las notificaciones a la autoridad de control, se lleve a cabo en un plazo máximo de tiempo. Eso sí, como ya resaltábamos al comienzo de esta entrada, exige que se realice “sin dilación indebida” (esto es, lo antes posible).

La comunicación se ha de realizar en un lenguaje claro y sencillo. Además, ha de ser específico y no “ocultarse” entre otra información que se envíe (p.ej. boletines informativos o mensajes normalizados).

La notificación se debe realizar preferentemente de forma directa al afectado. La notificación indirecta, vía avisos públicos en sitios web, blogs corporativos, o comunicados de prensa, se utilizará cuando los costes para la notificación directa sean excesivos o cuando no sea posible contactar con los afectados (p.ej. porque se desconocen o los datos de contacto no están actualizados).

¿Qué información debo facilitar?

A la hora de comunicar a los afectados que se ha producido una brecha de seguridad, el responsable debe facilitar, al menos, la siguiente información:

  • Descripción general de la brecha de seguridad, el momento en el que se ha producido, su naturaleza y los datos personales afectados;
  • Descripción de las posibles consecuencias de la brecha de seguridad;
  • Descripción de las medidas adoptadas (o propuestas) para remediar la brecha de seguridad y mitigar posibles efectos negativos de esta;
  • Datos de contacto del Delegado de Protección de Datos (o, en su caso, de cualquier otro punto de contacto); y
  • Otra información que resulte útil a los afectados para proteger sus datos o prevenir posibles daños.

Esperamos que nuestras tres nuevas entradas de “Básicos” sean de utilidad y sirvan para tener una primera aproximación a cómo se debe actuar en caso de sufrir una brecha de seguridad. No hay que tener miedo a la brechas de seguridad, solo hay que estar preparado.