El RGPD plantea muchas novedades y exigencias para las Administraciones públicas. Una de ellas, también obligada para las organizaciones pertenecientes al Sector privado, es la necesidad de comunicar a las Autoridades de Control determinadas violaciones de la seguridad de los datos personales, como se dispone en el art. 33 RGPD.
Es importante recalcar que únicamente debe notificarse a la Autoridad de Control si la violación afecta a datos personales, no cualquier violación de seguridad como algunos han llegado a manifestar. De ahí que sea tan importante tener bien inventariados los datos de naturaleza personal que trata la organización. Está claro que, por competencias, las Administraciones públicas tratan cantidades ingentes de datos personales de los ciudadanos en tanto que personas físicas, por lo que están más expuestas a que, caso de producirse una brecha de seguridad, esta afecte a datos de carácter personal y deba de notificarse. Añadiré que no solo debe haberse producido dicha violación de datos personales, sino que además ha de constituir un riesgo para los derechos y libertades de las personas físicas afectadas.
Surge, no obstante, una duda respecto al Sector público. Hasta ahora, con la LOPD actual, los ficheros debían registrarse en la Autoridad de Control central (AEPD) si eran de organizaciones pertenecientes al Sector privado, o en las Autoridades de Control Autonómicas (AVPD y APDCAT) si eran de organizaciones pertenecientes al Sector público y existían tales Agencias en su comunidad. ¿Se aplicará el mismo criterio respecto a las notificaciones de violaciones de seguridad de datos personales, o deberán notificarse siempre a la AEPD? Téngase en cuenta que el art. 56 RGPD sobre competencia de la autoridad de control principal está pensado para dirimir la competencia entre Autoridades de Control de diferentes Estados miembros y no dentro de un mismo Estado.
En cuanto a los afectados por dichas violaciones, según dispone el art. 34 RGPD, se les deberá también comunicar, sin dilación indebida, la violación de sus datos personales, siempre que ésta entrañe un alto riesgo para sus derechos y libertades. Por desgracia “alto riesgo” es un término jurídico indeterminado que diferentes grupos consultivos y autoridades de control deberán ir clarificando.
El plazo máximo de comunicación está establecido en el artículo 33.1 del RGPD:
“Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
1.En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella…”
El contenido y formato de la notificación a la Autoridad de control, según se determina en el art. 33.3 RGPD, deberá contener como mínimo:
“(…)
describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
describir las posibles consecuencias de la violación de la seguridad de los datos personales;
describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos”.
Caso de tener que notificarla a los afectados, además de a la Autoridad de control correspondiente, el contenido mínimo a comunicarles es el correspondiente a los tres últimos puntos anteriores.
Ésta, junto a muchas de las nuevas obligaciones del RGPD, hacen que cobre importancia la responsabilidad activa (muy conocida en inglés como accountability), por la cual, el responsable del tratamiento, tenga tiene la obligación de establecer medidas de seguridad técnica adecuadas para evitar cualquier tipo de incidencia de seguridad y, si esta llega a producirse, minimizar el riesgo. Además, prever los procedimientos o protocolos de actuación necesarios para evaluar sin dilación las brechas identificadas y cumplir con el deber de notificación a la Autoridad de Control, y a los afectados, de ser necesario por el impacto de la violación de datos personales.