LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 13:29:04

LegalToday

Por y para profesionales del Derecho

Blog Compliance – RIBAS Y ASOCIADOS

‘Data breach’ y RGPD: la realidad de un concepto mal traducido

abogado
Ribas y Asociados
Xavier.ribas

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Candado sobre un teclado

Añadir "personales" no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto "data breach" se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto "data breach" aparezcan en la práctica como "brechas de seguridad" o como "violaciones de seguridad", con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un "data breach" y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: "¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?"

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

    1.    No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.

    2.    No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.

    3.    La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.

    4.    Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

"Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters se ha dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada".

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.