¿Cuándo y cómo comunicar un incidente de seguridad? Cinco claves para entender esta obligación

Una de las grandes novedades que trajo el Reglamento General de Protección de Datos en su entrada en vigor el pasado 2018 fue la de comunicar las brechas de seguridad a los interesados que se vean afectados por la misma, cuando sea probable que la brecha entrañe un alto riesgo para sus derechos y libertades.

Por esta razón, los últimos años hemos conocido noticias de violaciones de seguridad que han sufrido algunas empresas que afectan a miles o incluso millones de personas, que con la normativa anterior no hubiesen salido a la luz. Uno de los últimos casos fue el de Orange España, que comunicó una brecha de seguridad sufrida por uno de sus proveedores que afectó a sus propios clientes, exponiendo nombres, apellidos, direcciones postales, teléfonos, correos electrónicos, números de documentos de identidad y fechas de nacimiento.

Aunque en los medios de comunicación se pone el foco en las grandes multinacionales, la obligación de comunicar las brechas de seguridad a los clientes y otros interesados afecta a todas las organizaciones que traten datos de carácter personal, por lo que ofrecemos las cinco claves para conocer esta obligación:

Cuando comunicar una brecha de seguridad

El Reglamento General de Protección de Datos prevé en su artículo 34 la obligación de comunicar a los interesados cualquier violación de la seguridad cuando esta entrañe un alto riesgo para los derechos y libertades de las personas físicas. Por ende, se debe valorar cualquier incidente que conlleve la destrucción, pérdida, alteración o acceso no autorizados a los datos personales de una organización.

El responsable del tratamiento debe comunicar esta brecha de seguridad sin dilación indebida desde que tenga conocimiento de que se ha producido.

Por qué realizar esta comunicación

La finalidad de esta comunicación es proteger a las personas ante las consecuencias de una brecha de datos personales (por ejemplo, suplantación de identidad, revelación de datos de personales…). Conocer esta información puede ayudar a los interesados a prever las consecuencias y mitigar sus efectos.

A quién realizar la comunicación

Se debe comunicar a todos los afectados por el incidente que haya causado la brecha de seguridad, por ejemplo, clientes, empleados, proveedores o contactos comerciales de la organización.

Cómo realizar esta comunicación

Será necesario realizar la comunicación a cada uno de los afectados, por ejemplo, mediante correo electrónico, SMS o correo postal, entre otros medios. Si supone un esfuerzo desproporcionado o se desconoce con precisión quién ha podido verse afectado, se puede realizar un comunicado público que tenga la misma eficacia.

Qué debe contener este comunicado

Se debe informar a los afectados de la naturaleza del incidente en un lenguaje claro y sencillo, describiendo qué a ocurrido, qué datos se han visto afectados y qué consecuencias puede tener. Además, se deben comunicar las medidas tomadas por el responsable para solucionar la brecha y minimizar las consecuencias, facilitando un medio de contacto para ampliar la información.

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.