LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 21:23:02

LegalToday

Por y para profesionales del Derecho

¿Qué podrían analizar las autoridades ante una brecha de datos para decidir si imponen sanción?

Abogada y delegada de protección de datos en Privalia

El Reglamento Europeo de protección de datos 2016/679 de 27 de abril (en adelante, el “Reglamento”) define como “violaciones de la seguridad de los datos personales” “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Protección datos

En este artículo se usará el término "brecha de datos" (en adelante, "BD") en lugar de "violación de la seguridad de los datos personales" (traducción ésta poco acertada de la versión inglesa del Reglamento, que habla de "data breach").

En general, una BD es todo incidente de seguridad de la información que ponga en riesgo los datos personales y la utilización que puede hacerse de los mismos (si bien qué debe entenderse a la práctica por BD y los supuestos en que debe notificarse a las autoridades e interesados son aspectos que, por extensión, necesitan un análisis separado).

En este artículo se describen algunos aspectos que podrían ser analizados por las autoridades en caso de que una empresa sufriera una BD (el Reglamento no aplica únicamente a empresas, pero es el supuesto más habitual). Dichos aspectos serían:

  • El volumen, naturaleza, sensibilidad y tipos de tratamiento de datos personales;
  • Las cifras de facturación, beneficios y presupuesto destinado a seguridad de la información;
  • La existencia de análisis de riesgos completos y razonablemente actualizados;
  • El elenco de medidas de seguridad técnicas y organizativas implantadas y su correspondencia con los análisis de riesgos y con estándares internacionales (como, por ejemplo, ISO 27001, 27002 o metodología Magerit);
  • La proporcionalidad entre los riesgos de mayor impacto y las medidas implantadas;
  • La existencia de un proceso que compruebe y evalúe la eficacia de dichas medidas;
  • Si la vulnerabilidad que hizo posible la BD estaba contemplada en los análisis de riesgos y si existían medidas de seguridad para minimizar ese tipo de riesgo, así como la eficacia e idoneidad de dichas medidas;
  • La compatibilidad de dichas medidas con el estado de la técnica (esto es, si las medidas de seguridad podrían haber quedado obsoletas para los riesgos que se pretendían minimizar y si existían medidas más eficaces cuyo coste fuere proporcionalmente asumible por la empresa);
  • El grado de conocimiento de la BD dentro de la empresa y cuánto se tardó en tomar medidas desde que se conoció su existencia;
  • La eficiencia de las medidas adoptadas para contener y minimizar los efectos de la BD una vez detectada;
  • El grado de conocimiento público, así como dentro del sector de seguridad de la información, del tipo y características del ataque que originó la BD;
  • Si la empresa debía notificar la BD a las autoridades (debe hacerlo salvo que sea improbable que constituya un riesgo para los derechos y las libertades de los interesados) y si lo hizo en tiempo y forma;
  • Si la empresa debía notificar la BD a los interesados (debe hacerlo si supone un alto riesgo para los mismos) y si lo hizo en tiempo y forma;
  • La gravedad de la afectación a derechos y libertades de los interesados;
  • Si la empresa obtuvo algún lucro como consecuencia de la BD;
  • La formación y grado de sensibilización de empleados y colaboradores de la empresa en materia de protección de datos;
  • El grado de intencionalidad en la falta de transparencia de la empresa;
  • Si la BD afecta a un tratamiento que requería haber realizado una evaluación de impacto y si dicha evaluación fue correctamente realizada;
  • Si, en el pasado, la empresa sufrió un incidente de seguridad con causa similar al que ha dado lugar a la BD (por ejemplo, si consta en la documentación prevista en el artículo 33.5 Reglamento);
  • Si la empresa había sido advertida o sancionada con anterioridad por incumplimiento de normativa de protección de datos (y si la causa de la advertencia o sanción tiene relación con los hechos que han dado lugar al DB).

Si la BD la hubiese sufrido un encargado del tratamiento (tema éste a la orden del día), debería analizarse el nivel de diligencia y verificaciones efectuadas por el responsable para escoger al encargado (ius eligendi). Además, las autoridades podrían analizar la mayoría de aspectos indicados en este artículo respecto del encargado de tratamiento. En todo caso, este asunto merecería también un análisis separado.

Si bien no estamos ante una lista cerrada, todos estos aspectos deberían contribuir a verificar si existe responsabilidad sancionable de la empresa y en qué medida.

Ante una BD, las autoridades pueden sancionar por, al menos, dos infracciones: incumplimiento de obligaciones de seguridad de la información e incumplimiento de obligaciones derivadas de BD. En ambos casos, las multas pueden llegar a ser de 10 millones de euros o 2% de facturación anual global del ejercicio anterior, debiendo aplicar la cuantía más elevada (además de las acciones que podrían iniciar los interesados).

En cuanto al nivel de exigencia por parte de las autoridades, éstas deben tener en cuenta la capacidad de cada empresa (no se puede exigir lo mismo a una PYME que a una gran empresa). También debe tenerse en cuenta el tipo de ataque. No debería ser lo mismo estar ante un ataque desconocido o novedoso para el que existen soluciones limitadas o extremadamente costosas que estar ante un tipo de ataque conocido para el que existen soluciones asequibles y normalizadas en el mercado. La transparencia y buena fe de la empresa es otro aspecto clave que las autoridades deben tener en cuenta a la hora de evaluar la imposición de sanción.

En caso de BD, la eventual responsabilidad del responsable o del encargado (o de ambos) se medirá por su grado de diligencia y, tal y como indica la AEPD en su "Guía para la gestión y notificación de brechas de seguridad", no necesariamente existirá sanción:

"la notificación no implicará de forma directa la imposición de una sanción por parte de la AEPD, ésta sería el resultado de falta de diligencia de responsables y encargados cuando suponga la falta de medidas de seguridad adecuadas de los tratamientos y se produzca un posible perjuicio para los derechos y deberes de los interesados. En este caso tendría sentido el inicio de un posible procedimiento sancionador."

Por tanto, será necesario analizar, entre otros, los aspectos descritos en este artículo respecto de cada caso en concreto para verificar el nivel de diligencia del responsable o del encargado con la finalidad de determinar si procede sanción.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.