El haking de los sistemas de información, ataques informáticos dirigidos al hardware, ramsonware, phishing, fallos humanos, problemas con el fluido eléctrico de las infraestructuras de la información, … muchos pueden ser los motivos por los que nuestros datos personales pueden verse afectados en su confidencialidad, integridad y disponibilidad.

Qué hacer y cómo actuar para evitar daños a los titulares de los datos se convierte en una labor esencial para garantizar la confianza de las personas físicas en las actividades de negocio tanto en el sector privado como en el sector público.

Una de las obligaciones de los responsables con relación a los tratamientos de datos personales que llevan a cabo es la de garantizar la confidencialidad, la integridad y la disponibilidad de los datos. En este sentido el RGPD obliga al establecimiento de medidas de seguridad que deben ser el resultado de un detallado análisis de riesgos para los derechos y libertades de las personas físicas donde, además, se debe tener en cuenta los riesgos para la seguridad de los datos personales.

Sin embargo, ninguna actividad del ser humano se encuentra exenta de riesgo al 100%, podemos decir que el riesgo cero no existe y la posibilidad de quiebra de la confidencialidad, la disponibilidad y la integridad de los datos personales debe ser admitida como algo que puede materializarse en cualquier momento como resultado de amenazas y vulnerabilidades latentes en los productos, servicios y procesos que se dependen de elementos tecnológicos.

El establecimiento de medidas de seguridad tiene por objeto evitar que se produzca una brecha de seguridad, sin embargo, cuando la brecha tiene lugar, comienza una labor importante destinada a mitigar el daño y a establecer medidas de contingencia que impidan que dicho daño pueda maximizarse.

Ante una brecha de seguridad, el Responsable de Seguridad de una organización pone en marcha a su equipo con todos los recursos técnicos y operativos de que dispone con un doble objetivo, de un lado el de minimizar el alcance de la brecha y de otro el de facilitar al Delegado de Protección de Datos el conocimiento necesario sobre lo ocurrido para que pueda darle instrucciones claras al responsable con el fin de evitar daños para los derechos y libertades de las personas físicas. De esta forma el Delegado de Protección de Datos se convierte en una pieza clave en las actuaciones que devienen como consecuencia de una brecha de seguridad y cuya actividad se orienta a proteger a las personas físicas.

El PAPEL DEL DELEGADO DE PROTECCIÓN DE DATOS EN LAS BRECHAS DE SEGURIDAD

La mayor parte de las brechas de seguridad tienen alcance sobre datos personales, y el RGPD obliga a los responsables de los tratamientos (empresas o instituciones públicas) a llevar a cabo una valoración del riesgo o consecuencias que la brecha de seguridad podría tener para los derechos y libertades de las personas físicas.

Los conocimientos tecnológicos del Delegado de Protección de Datos son clave para entender lo ocurrido cuando se produce una brecha de seguridad pero los conocimientos sobre los derechos y libertades que pudieran verse afectados con la materialización de una brecha de seguridad son imprescindibles para asesorar al responsable del tratamiento con relación a las obligaciones que el RGPD establece en sus artículos 33 y 34: la notificación de la brecha a la autoridad de control y la notificación de la brecha a los interesados.

Ambas notificaciones exigen al Delegado de Protección de Datos formación y conocimiento sobre la normativa de protección de datos así como identificar el tipo de titulares de los datos a los que va a dirigir dicha comunicación con el objetivo de elegir el canal de comunicación adecuado y que el mensaje sea lo suficientemente claro y transparente.

Este ejercicio supone, en primer lugar, pasar de lo abstracto a lo concreto, es decir, conocidos los hechos y los datos personales afectados llevar a cabo una valoración cuantitativa de los riesgos para los derechos y libertades de las personas físicas que podrían verse expuestos con el fin de asesorar al responsable del tratamiento en dicha valoración.

La AEPD, consciente de la dificultad que los Delegados de Protección de Datos podrían tener a la hora de enfrentarse a una posible brecha de seguridad, ha llevado a cabo el desarrollo de dos recursos de ayuda, la Guía para la Gestión y Notificación de Brechas de Seguridad y la recién publicada herramienta para evaluar el posible impacto que una brecha podría tener sobre los derechos y libertades de las personas físicas: Comunica-Brecha-RGPD_2020.

Con el desarrollo de esta herramienta el Delegado de Protección de Datos dispone de una valoración inicial para asistir al responsable en la toma de decisiones sobre su obligación de comunicar a los afectados. Este recurso de ayuda se añade al resto de recursos de la AEPD y se integra, de primera mano, en el itinerario formativo para los Delegados de Protección de Datos, proporcionando a los alumnos las capacidades necesarias para abordar la problemática de las brechas de seguridad en los tratamientos de datos personales.

MÁSTER EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) DE LA UNED Y LA AEPD

CONVOCATORIA 2024 - MATRÍCULA ABIERTA