Bretxes o violacions de seguretat de dades personals


Manuel Castilleja Toscano     23/07/2024


A l'era digital actual, la quantitat de dades personals que es recapten, emmagatzemen i tracten per part de les organitzacions ha assolit nivells sense precedents, per la qual cosa cada vegada estan més exposades a patir incidents que les afectin. El responsable i/o encarregat del tractament d'aquestes dades han de dur a terme una gestió adequada d'aquests incidents quan tenen lloc, perquè el RGPD determina que en aquests casos s'han d'emprendre una sèrie d'actuacions específiques (registre, mitigar-ne les conseqüències, notificació a l'AEPD, informar els interessats, etc.), i per això és essencial disposar d'un protocol d'actuació per gestionar-los adequadament.

1. Què és una violació o bretxa de la seguretat de dades personals

És qualsevol violació de la seguretat que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o accés no autoritzats a aquestes dades; i que podria produir danys sobre els drets i llibertats de les persones físiques les dades personals de les quals s'estan tractant.

2. Què no es considera una bretxa de dades personals

Qualsevol incident de seguretat que:

  • No hagi afectat dades personals o tractaments de dades personals, atès que no podria produir danys sobre els drets i les llibertats de les persones físiques les dades de les quals s'estan tractant, independentment d'altres perjudicis que pugui produir al responsable o encarregat del tractament.
  • Ocorri en tractaments duts a terme per una persona física en l'àmbit exclusivament personal o domèstic.

Per tant, no tots els incidents de seguretat són necessàriament bretxes de dades personals i no només els Ciberincidents poden ser bretxes de dades personals. Alhora, no tota acció que suposi una vulneració de la normativa de protecció de dades pot ser considerada una bretxa de dades personals.

3. Alguns exemples de bretxes de seguretat

Atacs o ciberatacs:

  • A través d'un codi maliciós xifra les dades personals i posteriorment l'atacant demana un rescat a canvi del codi de desxifrat.
  • Que aprofiten les vulnerabilitats dels sistemes o serveis oferts a tercers a través d’Internet, amb l’objectiu de copiar, exfiltrar i usar indegudament les dades personals, incloses credencials d’accés.
  • Robatori de documentació o dispositius amb informació personal.

Factor humà intencionat:

  • Exfiltració de dades de clients per part d'un empleat/ada.
  • Modificació no autoritzada de dades per part d'un empleat/ada.

Factor humà no intencionat:

  • Pèrdua de documentació o dispositius amb informació personal
  • Rebutjar documents o suports amb informació personal sense destruir-la prèviament.
  • Comunicació accidental de dades a un tercer:
    • En enviaments a múltiples destinataris, no utilitzar el camp còpia oculta.
    • Enviament postal a destinataris diferents del que es pretenia.
    • Enviar un adjunt amb dades personals per error a destinataris diferents del que es pretenia.
    • Compartir documents amb informació personal per error en un grup de WhatsApp.

4. Com procedir quan es produeix una bretxa de seguretat de dades personals

En primer lloc, informar al consultor de privacitat, o al DPO si el té designat, perquè analitzi l'incident i determini si realment és una bretxa de seguretat i si suposa un risc o no per als interessats afectats per aquesta (clients, pacients, alumnes, proveïdors, personal, contactes, etc.) i, conforme al protocol d'actuació establert i divulgat per l'organització:

  • Si no suposa un risc:
    • Documentar la bretxa a través de la seva inclusió al registre de violacions de seguretat.
  • Si suposa un risc, a més de l'anterior:
    • Adoptar mesures de seguretat que en mitiguin les conseqüències.
    • Notificar la bretxa a l'Autoritat de Control com més aviat millor i a més tardar 72 hores després que n'hagi tingut constància.
  • Si el risc és alt, a més de tot l'anterior:
    • Comunicar la bretxa als interessats afectats.

Si es té designat un DPO, aquest actuarà com a punt de contacte amb l'Autoritat de Control en el procés de notificació de la bretxa de seguretat que afecti a dades personals, així com de les respostes als requeriments realitzats per aquesta Autoritat, sempre d'acord amb el procés de gestió de bretxes implantat a l'organització.

5. Reclamacions i sancions

Cal tenir en compte que una bretxa de seguretat podria suposar, a més, una reclamació per part d'alguna persona afectada davant l'Autoritat de control si la bretxa suposa una vulneració dels seus drets i llibertats, per això és importantíssim procedir com hem indicat a l’apartat anterior per evitar sancions, que, en funció de les circumstàncies de cada cas individual, poden arribar a ser molt elevades.

L'Autoritat de Control pot sancionar el responsable del tractament per:

  • No documentar qualsevol violació de seguretat en els termes exigits al RGPD.
  • No notificar, notificar fora de termini, o notificar de manera incompleta una violació de seguretat a l’Autoritat de control, quan suposi un risc per als interessats.
  • No comunicar una violació de seguretat a l'interessat, quan comporti un risc alt per als seus drets i llibertats.

I també pot sancionar l'encarregat del tractament per:

  • Incomplir el deure de notificar al responsable del tractament les violacions de seguretat de què tingués coneixement.

Si s'ha actuat diligentment, d'acord amb el que estableix la normativa de protecció de dades per a aquests casos i hem desenvolupat al llarg d'aquest document, tant la bretxa de seguretat com la possible reclamació per part dels interessats afectats suposarà l'arxiu de actuacions per part de l’AEPD i no l’inici de procediments sancionadors.