- La Comisión Permanente toma conocimiento del texto, que prevé la inmediata comunicación a la DSYCPD y a las personas afectadas cuando la brecha implique un alto riesgo para sus derechos y libertades
La Comisión Permanente del Consejo General del Poder Judicial ha tomado conocimiento del “Procedimiento para la notificación y gestión de brechas de seguridad que puedan sufrir los datos personales tratados con fines jurisdiccionales” en los órganos judiciales. El documento, elaborado por la Dirección de Supervisión y Control de Protección de Datos (DSYCPD) del CGPJ, es una de las medidas previstas en el Plan Estratégico 2026-2028 del que la DSYCPD dio cuenta a la Comisión Permanente el pasado 23 de enero.
El procedimiento regula la actuación y las medidas que deben adoptarse ante cualquier incidente que implique una brecha de la seguridad de los datos personales tratados por los órganos judiciales en el ejercicio de sus funciones jurisdiccionales para proceder a las correspondientes notificaciones tanto a la DSYCPD del Consejo General del Poder Judicial como a los propios afectados. La medida tiene como finalidad mitigar los efectos de la brecha de seguridad sufrida.
El texto del que ha tomado conocimiento la Comisión Permanente define como brecha de seguridad “todas aquellas que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Para que se considere que la brecha de seguridad entra dentro del ámbito de aplicación del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, debe afectar a datos personales de personas físicas identificadas o identificables, como por ejemplo nombre y apellidos, DNI, pasaporte u otros documentos identificativos, datos económicos, de empleo, académicos, profesionales, datos de localización, salud, biometría, religión, origen racial, datos de condenas o infracciones penales, entre otros.
El procedimiento distingue entre tres tipos de brechas de seguridad: de confidencialidad (divulgación no autorizada o accidental), de disponibilidad (pérdida accidental o no autorizada de acceso o destrucción de los datos) y de integridad (alteración no autorizada o accidental); y, en caso de que se produzca, establece la necesaria actuación de distintas figuras (responsables y encargados del tratamiento, delegado/a de protección de datos, personal al servicio de los órganos judiciales y la persona interesada).
A través de la web del Poder Judicial
Las brechas de seguridad deben quedar documentadas y, en el caso de que supongan un riesgo para los derechos y libertades de las personas, deberán ser comunicadas a la DSYCDP en un plazo máximo de 72 horas a partir del momento en que se tenga constancia de la misma. Para ello, existe un formulario al que se accede a través de la página web (www.poderjudicial.es)
El procedimiento establece también la comunicación sin dilaciones a las personas afectadas cuando la brecha de seguridad pueda entrañar un alto riesgo para sus derechos y libertades. Esta comunicación deberá hacerse en un lenguaje claro y preferentemente de forma directa (teléfono, correo electrónico, SMS, correo postal y otro canal adecuad
