La obligación de notificar las violaciones de seguridad a la Agencia Española de Protección de Datos

Actualidad en protección de datos

Gerard Espuga

El Art. 33 del RGPD establece que “En caso de violación de la seguridad de datos personales, el responsable del tratamiento la notificará a la autoridad de control competente (…) a más tardar 72 horas después (…) a menos que sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y libertades de las personas físicas”.

Una violación de seguridad que afecta a datos personales se produce cuando el incidente de seguridad puede afectar a la confidencialidad, disponibilidad o integridad de los datos personales. Por ejemplo, un ciberdelincuente se introduce en el servidor de la empresa a través de un código malicioso o malware siendo capaz de revelar a terceros información acerca de los datos personales de clientes y trabajadores como nombres y apellidos, NIF’s, retribuciones, información bancaria, titulaciones, datos de salud, etc.

Las incidencias de seguridad son responsabilidad de la empresa que realiza el tratamiento de datos personales, ya se produzcan por una conducta negligente del personal a su cargo, ya sea por parte terceros ajenos a la compañía.

En un caso como el expuesto, la propia compañía deberá notificar a la Agencia Española de Protección de Datos (AEPD), en un plazo no superior a 72 horas (salvo que la demora esté justificada), la violación de seguridad aportando una descripción de la misma junto con las medidas de seguridad que se habían adoptado para su prevención, así como las medidas reactivas que se han adoptado para mitigar sus efectos.

Asimismo, también deberá proceder a notificar a cada uno de los interesados la indicada violación, salvo que se hayan adoptado las medidas técnicas y organizativas que garanticen la inexistencia de alto riesgo para los derechos y libertades de los interesados, se hayan aplicado medidas tendentes a hacer ininteligibles los datos o suponga un esfuerzo desproporcionado proceder a realizar la notificación.

El incumplimiento de estas obligaciones de notificación a la AEPD puede acarrear el inicio de un procedimiento de inspección y, en su caso, la imposición de una sanción. Esto es lo que le ocurrió a la empresa SAUNIER-TEC MANTENIMIENTOS DE CALOR Y FRIO, S.L. a la que se le abrió un procedimiento sancionador (PS/00122/2020) por una incidencia de seguridad consistente en el hackeo de su base de datos. El procedimiento se inició a raíz de la reclamación formulada por una clienta que recibió distintos emails solicitando un cambio de datos personales (identificación y núm. de cuenta bancaria) con lo que los ciberdelincuentes podrían, entre otras acciones, proceder a generar cobros fraudulentos.

La empresa sancionada ha sido declarada responsable por no haber podido acreditar la implantación de medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo a fin de garantizar la confidencialidad de los datos personales, tal y como lo demuestra la existencia de un malware en la cuenta de correo de una trabajadora que suplantaba su identidad y usaba correos que se habían enviado a la misma. Asimismo, la empresa sancionada tampoco procedió a notificar la violación de seguridad a la AEPD ni a los interesados.

Lo anterior supuso la infracción de los artículos 33 y 34 del RGPD, lo que conllevó la imposición de una sanción por importe de 6.000.-€, si bien es cierto que este tipo de infracciones de la normativa pueden ser sancionadas con multas administrativas de 10.000.000.-€ como máximo o de una cuantía equivalente al 2% del volumen de negocio de la compañía.

A tenor de lo anterior, las empresas deben ser conscientes de la importancia que tiene la aplicación de medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos que manejan, así como, en caso de que dichas medidas sean vulneradas, de su obligación de notificar estas violaciones de seguridad a la AEPD y, en su caso, a los interesados, exponiéndose, en caso contrario a la imposición de graves sanciones por su incumplimiento.

BETA LEGAL ASSESSORS