LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 12:42:55

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

El Reglamento de Privacidad de la UE obligará a publicitar las brechas de seguridad

asociado Senior del área de Privacidad y Compliance de ECIJA

Son conocidos los sonados casos aparecidos en prensa en los últimos tiempos relativos a la filtración accidental masiva de bases de datos de clientes de grandes empresas. Es especialmente recordado que los datos bancarios y de identificación de 75 millones de usuarios de Sony Playstation quedaron comprometidos durante el 2011. Y hace tan solo unas semanas se hacía público que Linkedin investigaba el secuestro de casi 6 millones de contraseñas de usuarios, por citar sólo algunos de los ejemplos más conocidos.

Dirección de un website

Este tipo de sucesos originan una gran alarma social y causan una profunda merma en la confianza que los ciudadanos depositan en el entorno digital. Si los casos publicitados en prensa son susceptibles de generar tanta alarma social, aún son una fuente de preocupación mucho mayor aquellos casos en que, tras ocurrir el incidente de seguridad, la noticia no hubiera sido objeto de difusión y el suceso quedara falsamente minimizado en sus proporciones y alcance, cuando la empresa afectada hubiera decidido seguir una política de ocultación del hecho pretendiendo no dañar su reputación online.

El mantenimiento de una política de ocultación del incidente puede engendrar perjuicios mayores, porque precisamente la alerta temprana es el mecanismo reactivo más apropiado para contener el daño.

En nuestro derecho positivo vigente no se contempla como tal un deber de declaración de alerta temprana de incidentes de seguridad, a menos que dicho deber se entendiera como un deber implícito a las obligaciones de seguridad y confidencialidad en el tratamiento de datos de carácter personal. Pero sea como fuere, el hecho es que no existe a fecha de hoy un marco regulatorio claro para gestionar estos escenarios.

El borrador de Reglamento Comunitario eleva a la categoría de un expreso mandato legal la publicitación temprana de la brecha de seguridad y su comunicación inmediata a los entes regulatorios; a más tardar, en el plazo de 24 horas. Solamente por causa debidamente justificada cabe la demora en este plazo. Ello supone un gran avance en la tutela de los derechos individuales.

En Legal Today nos hemos ocupado de este borrador. ¿Quiere saber algo más? 

La doctrina contemporánea más autorizada (Schneier, 2004) concibe la seguridad lógica como un proceso dinámico que tiene que contemplar la brecha de seguridad como un elemento más en el ciclo de vida del dato. Es decir, se parte del axioma que el riesgo cero o nulo supone un umbral teórico inalcanzable en la práctica, y la política de seguridad de datos solamente puede aspirar a una minimización razonable de probabilidades de riesgo, debiendo contemplar las brechas accidentales como un fenómeno inherente al mismo hecho de la titularidad de un fichero.

Nunca puede hablarse de erradicación del riesgo, sino que a lo sumo cabe aspirar a la gestión, mitigación y minimización del mismo. Luego la correcta custodia del dato implica por definición la implementación de planes reactivos, y la existencia de un comité de seguridad preparado para facilitar a los entes regulatorios y medios de prensa, así como a la ciudadanía en general, información veraz, proporcional, relevante y sobre todo unívoca acerca de eventuales incidentes.

Uno de los errores más frecuentes en la gestión de incidentes consiste en la transmisión de informaciones discordantes a los medios de comunicación por parte de diferentes departamentos de una misma empresa. Ello se debe al hecho de no haber contemplado estos escenarios como una parte más de la política de seguridad de la empresa. De ahí la necesidad de contar en la organización con un comité de seguridad preparado, que unifique criterios.

Por otro lado, el artículo 32.3 del borrador de Reglamento Comunitario establece que la comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación.

Cabe preguntarse en qué constelaciones de casos las autoridades de control darán por satisfecho el requisito de adopción de medidas de protección tecnológica apropiadas, cuando lo cierto es que cualquier incidente que afecte a la confidencialidad del dato supone per se la existencia de un perjuicio permanente en tanto el titular ha perdido el control efectivo sobre el uso, destino y finalidad de sus datos de carácter personal en los términos establecidos en la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre de 2000.

Serán en todo caso los entes regulatorios y la doctrina quienes vendrán a desarrollar criterios más atomizados y concretos en base a un análisis caso a caso, que de solución a todo este nuevo fenómeno normativo.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.