La Agencia Española de Protección de Datos (AEPD) ha actualizado sus herramientas relacionadas con la gestión de las quiebras de seguridad que afecten a datos personales. Asesora Brecha tiene como objetivo ayudar a los responsables de tratamientos a decidir si deben notificar una brecha de datos personales a la autoridad de control mientras que Comunica-Brecha ayuda a los responsables en la toma de decisiones ante la obligación de comunicar una brecha de datos personales a los afectados.
La principal novedad de las actualizaciones de ambas herramientas es que al finalizar su ejecución los responsables y delegados de protección de datos (DPDs) tienen la posibilidad de descargar un informe completo con las respuestas consignadas en la herramienta y el resultado obtenido. De este modo, podrán completar en el informe la información básica sobre el tratamiento afectado por la brecha y conservar el informe como parte de la documentación interna sobre la misma.
Esta funcionalidad se ha incluido siguiendo las aportaciones realizadas por los delegados de protección de datos del sector público en las reuniones organizadas por la Agencia con los DPDs de la AGE, Administraciones Autonómicas y Entidades Locales.
Además, en el caso de Comunica-Brecha el informe incluye una plantilla para una posible comunicación a los afectados. Los responsables pueden rellenar y utilizar la plantilla para garantizar que su comunicación a los afectados cumple con la información mínima exigida en el art. 34 del Reglamento General de Protección de Datos (RGPD).
La AEPD ha recibido en el último año más de 2.100 notificaciones de brechas de datos, lo que representa un alto índice de situaciones en las que el asesoramiento de la Agencia puede resultar clave para la gestión adecuada de este tipo de incidentes. Por otra parte, estas brechas han generado un total de 31 requerimientos a los responsables para que cumplieran con su obligación de comunicar a los afectados.
Asesora Brecha
El RGPD establece la obligación que tienen los responsables que tratan datos personales de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que hayan tenido constancia de la misma, salvo que sea improbable que dicha brecha constituya un riesgo para los derechos y libertades de las personas.
Esta herramienta asesora sobre quién tiene que notificar; qué situaciones se corresponden con una brecha de datos personales y cuáles no; cuál es el organismo competente (la AEPD, las autoridades autonómicas de protección de datos u otras autoridades de Estados Miembros de la UE), y si esa brecha de datos personales debe ser notificada o no en función del riesgo mediante el formulario de notificación de brechas.
Esta herramienta está ordenada en secciones ‒obligación /responsabilidad; brecha; competencia, y riesgo, confidencialidad, disponibilidad e integridad‒ de forma que no sea necesario completar el formulario íntegro en todos los casos. Una vez finalizado, los datos aportados durante el proceso se eliminan, por lo que la AEPD no puede conocer la información aportada.
Comunica Brecha
La utilización de Asesora Brecha es independiente de la obligación de comunicar brechas de datos personales a los afectados, para cuyo caso la AEPD dispone de Comunica-Brecha RGPD. El RGPD establece que aquellos que sufran una brecha de datos personales deben comunicárselo a los afectados cuando sea probable que ésta suponga un alto riesgo para sus derechos y libertades.
El propósito de Comunica-Brecha RGPD es promover la transparencia y responsabilidad proactiva entre los responsables, en un ejercicio que permita a los afectados por una brecha conocer cuándo dichos derechos y libertades pueden estar en riesgo y así poder tomar las medidas para salvaguardarlos.
Esta herramienta se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos que pueden ser indicativos del riesgo asociado a una brecha de datos personales. Al igual que en Asesora Brecha, la Agencia no almacena los datos consignados durante el proceso.
Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta ofrece como respuesta tres posibles escenarios: que se debe notificar la brecha de datos personales a los afectados al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo.
El uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de datos personales y el resto de los factores que permiten obtener una valoración del riesgo acertada.
Con el lanzamiento de las actualizaciones, la Agencia continúa trabajando para facilitar herramientas gratuitas que ayuden a los responsables a cumplir con las obligaciones establecidas en la normativa de protección de datos.