PROBLEMÁTICA ACTUAL DEL DEBER DE NOTIFICACIÓN DE LAS VIOLACIONES DE SEGURIDAD EN MATERIA DE PROTECCIÓN DE DATOS ("Un millón de dólares a quien detecte una violación de seguridad").
- Escrito por Isabel GUISADO FERRÁNDIZ
Con la entrada en vigor el 25 de mayo de 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD) se amplía el sistema de protección de los datos de carácter personal.
La aprobación de este Reglamento ha dado la vuelta al día a día de la mayor parte de las empresas españolas, la mayoría han tenido que actualizar y adaptar sus políticas de privacidad a la nueva realidad que impone la norma.
El RGPD se centra principalmente en otorgar un mayor grado de protección al tratamiento de los datos de carácter personal de los interesados, y establece unos criterios sancionadores más elevados en caso de que se produzca un acceso no autorizado a este tipo de datos.
Cuando hablamos de “acceso no autorizado” a datos de carácter personal nos referimos a violaciones o brechas de seguridad. El RGPD entiende por “violaciones de seguridad” de los datos personales “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” (art. 4.12º)
Normalmente, las violaciones de seguridad surgen en el seno de las relaciones entre empresas debido al intercambio de datos entre las mismas. Dichas relaciones se formalizan a través de la firma de un contrato de encargo de tratamiento de datos, en el cual una parte, denominada “encargado del tratamiento”, tendrá acceso a datos de carácter personal de la otra, y por consiguiente, podrá tratar estos datos en su nombre. Esa otra parte es denominada “responsable del tratamiento”.
Actualmente, cuando dos empresas firman contratos de encargo de tratamiento, la comunicación de las violaciones de seguridad es uno de los principales puntos de conflicto debido a qué ninguna de las partes quiere asumir más responsabilidades que las que le impone la ley. A esta cuestión se refieren los artículos 33 y 34 del RGPD.
El artículo 33.1, sobre notificación de una violación de la seguridad de los datos personales a la autoridad de control, señala: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
Por su parte, el artículo 34.1 del RGPD sobre comunicación de una violación de la seguridad de los datos personales al interesado, establece que: Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
De los citados artículos se desprende que la única responsabilidad que ostenta el encargado del tratamiento es la de notificar al responsable la violación de seguridad de la que tuviera conocimiento, o en su caso, la de asistir al responsable en su obligación de llevar a cabo las comunicaciones de dichas violaciones a los interesados o a la autoridad de control.
Es aquí donde se localiza el conflicto mencionado anteriormente, pues los responsables del tratamiento tienden a evadir esta responsabilidad de efectuar las notificaciones a los interesados o a la autoridad de control, y evitar de esta forma, las posibles sanciones económicas que se pudieran imponer a la empresa como consecuencia de no haber efectuado la notificación del acceso no autorizado a datos de carácter personal.
Todas estas dificultades a la hora de establecer responsabilidades encuentran su fundamento en que debido a los nuevos avances tecnológicos, nuestros datos están cada vez más expuestos y resulta más fácil el acceso a los mismos por parte de terceros.
La normativa vigente exige una protección adecuada al riesgo, enfocada a garantizar la seguridad de los datos de carácter personal. Por ello, las empresas adoptan políticas de privacidad con las que implementan medidas de seguridad que permiten salvaguardar los datos de los interesados, protegiendo de esta forma también sus derechos.
En esta línea, si contamos con medidas de seguridad es más sencillo evitar la imposición de una posible sanción al responsable del tratamiento en caso de que se produjesen violaciones de seguridad y no las notificase, ya que estos accesos no autorizados a datos son cada vez más frecuentes y la sanción que llevan aparejada puede ser millonaria por el gran perjuicio que supone para los interesados.
Como conclusión, una de las cosas más importantes cuando se firman contratos de encargo de tratamiento es atender a quién asume finalmente esta responsabilidad a la que nos venimos refiriendo, si el encargado o el responsable del tratamiento. Por ley, esta obligación es exclusiva del responsable, pero en ocasiones se incorporan cláusulas al contrato transfiriendo esta responsabilidad al encargado del tratamiento con el fin de eludir posibles sanciones.
Esta situación es tan relevante en la actualidad, que empresas como Apple ofrecen recompensas de hasta 900.000 euros a aquellos expertos en ciberseguridad que detecten fallos en sus iPhone que puedan desembocar en un posible acceso no autorizado a datos personales de los afectados, tal como apareció en el diario económico Cinco Días, el pasado 8 de agosto de 2019.