Notificación de brechas de seguridad de los datos personales durante el estado de alarma
En estos momentos de especial vulnerabilidad resulta más importante que nunca poder conocer las incidencias que puedan producirse en la protección de datos de carácter personal.
La situación crítica generada por la pandemia del COVID-19 a nivel mundial ha obligado a cambiar nuestros hábitos de forma radical, obligándonos al distanciamiento social y a recurrir a herramientas de teletrabajo para poder seguir desempeñando las labores profesionales. Esto ha producido un aumento de riesgos y amenazas que aprovechan la necesidad de información relativa al coronavirus para materializar ciberataques de todo tipo.
Las organizaciones no deben bajar la guardia ante esta situación, al aumentar la probabilidad de sufrir una brecha de seguridad de los datos personales.
En el Real Decreto 463/2020 por el que desde el 16 de marzo de 2020 se establece en España el estado de alarma para combatir la pandemia, en la disposición adicional tercera sobre suspensión de plazos administrativos se establece que “se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público”, lo que ha llevado a algunos responsables a plantear dudas sobre si estaban obligados o no a notificar las quiebras de seguridad.
En primer lugar, hay que destacar que, tal como la Agencia ha manifestado en su “Comunicado sobre apps y webs de autoevaluación del Coronavirus”, esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales.
Las obligaciones impuestas en el Reglamento UE 2016/679 RGPD y LOPDGDD relativa a la notificación de brechas de seguridad de los datos personales, así como la obligación de comunicar a los interesados en caso de que estas entrañen un alto riesgo para los derechos y libertades de las personas físicas, tienen por objeto de crear una sociedad más resiliente ante los incidentes de seguridad que pueden socavar nuestros derechos fundamentales. La suspensión mencionada con anterioridad no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificar ante la Agencia.
En estos momentos de especial vulnerabilidad resulta más importante que nunca poder conocer de forma veraz las incidencias que puedan producirse en la protección de datos de carácter personal, aportando información que permita a las Autoridades de Control y los ciudadanos tomar las medidas de protección necesarias y generar confianza en el funcionamiento de nuestro sistema.
Los responsables y encargados de tratamiento deben seguir cumpliendo con sus obligaciones si sufrieran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas. Deberán notificar las brechas ante la Autoridad de Control en el plazo de 72 horas. La presentación de esta notificación se realizará de forma telemática a través de la sede electrónica de la AEPD, pudiendo recurrir a la opción de realizar una notificación inicial en el plazo establecido en caso de no disponer de toda información necesaria sobre la brecha. Posteriormente, cuando se disponga de toda la información necesaria, se podrá ampliar la información mediante una notificación adicional.
Además, cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas el responsable lo comunicará también al interesado lo antes posible, siendo especialmente relevante esta comunicación a los interesados en periodos de especial vulnerabilidad como en el que nos encontramos.
Como material de referencia se recomienda consultar la Guía de Gestión y Notificaciones de Brechas de Seguridad de los Datos Personales publicada por la AEPD.