La segunda gran innovación en materia de seguridad del GDPR consiste precisamente en la previsión de un modelo de notificación de violaciones de seguridad que procede de la experiencia adquirida en el diseño en el llamado Paquete Telecom de la Directiva 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009. El principio inspirador en esta materia reside sin duda en el establecimiento de obligaciones de diligencia máxima en el seguimiento de los incidentes que, en una aproximación superficial nos permitiría establecer al menos cuatro niveles desde el punto de vista del impacto potencial:
A.-Incidentes banales o de escasos efectos en la seguridad del sistema de información.
B.-Incidentes significativos pero que son asumibles ya sea por su bajo impacto, ya sea porque el sistema dispone de medidas suficientes para eliminar el riesgo o mitigarlo de modo significativo.
C.-Incidentes cuya trascendencia en el sistema, y en los derechos de los afectados, obliga a una notificación a la autoridad de control.
D.-Incidentes que impactan de modo grave en los derechos de los afectados y obligan a una notificación a estos interesados.
Para identificar los supuestos de notificación obligatoria el considerando 85 GDPR ofrece algunos ejemplos de estos efectos adversos de un incidente de seguridad. Como nexo común los distintos supuestos tienen el que «las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas». Entre los supuestos se señalan los siguientes:
▪ Pérdida de control sobre sus datos personales o restricción de sus derechos.
▪ Discriminación.
▪ Usurpación de identidad.
▪ Pérdidas financieras.
▪ Reversión no autorizada de la seudonimización.
▪ Daño para la reputación.
▪ Pérdida de confidencialidad de datos sujetos al secreto profesional.
▪ Cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Debe subrayarse que con el GDPR será necesario cambiar una mentalidad de los juristas formada en los niveles de seguridad del RLOPD. No se trata aquí de la naturaleza del dato, o de la calificación jurídica de un determinado nivel, sino del impacto material en la esfera de derechos del afectado. Nadie discute que la violación de la seguridad de un dato de salud objetivamente siempre sea grave. Pero es obvio que el acceso a datos de una tarjeta de crédito, o la alteración dolosa de un fichero sobre solvencia patrimonial, pueden ser significativas. Por tanto, es fundamental evaluar el IMPACTO.
Sin abordar todavía el articulado del GDPR, los Considerandos ofrecen criterios muy relevantes. El primero de ellos sería el de diligencia previa definido de modo muy preciso:
(87) Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado.
Dicho de otro modo hay al menos dos labores previas. La primera se relaciona con la llamada accountability y la protección de datos desde el diseño en términos de seguridad desde el diseño. La segunda con afinar los procesos de reacción, gestión y notificación de incidentes. Por tanto, como se señalaba en el epígrafe anterior es evidente que entre las medidas a adoptar hay que enriquecer la gestión de incidencias que ahora debería de contar con medios para:
▪ Prever violaciones de seguridad.
▪ Detectar estos incidentes.
▪ Gestionar el incidente.
▪ Procedimentar los criterios de decisión de valoración de su gravedad.
▪ Ordenar el procedimiento de notificación de violaciones cuando constituya un riesgo para los derechos y las libertades de las personas físicas.
▪ Documentar el incidente y su gestión.
En este sentido el considerando es claro:
(87) (…) Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.