Notificación de una violación de la seguridad de los datos personales a la autoridad de control
Una vez detectado un incidente relevante por su gravedad, el Artículo 33 GDPR prevé un primer deber: «el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas».
Por razones de carga justificada de trabajo en la gestión del incidente, por la urgencia en su atención etc…, podría no cumplirse en el plazo de 72 horas y diferirse la notificación. Pero en tal caso «deberá ir acompañada de indicación de los motivos de la dilación». El más elemental sentido común, salvo que las autoridades de protección de datos opten por otro criterio, sería el de realizar una primera notificación básica en la que se informe sobre la existencia del incidente y se difiera el detalle a un momento posterior. En ello hace pensar la previsión del artículo 33.4 GDPR cuando señala que «si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida».
La notificación a la autoridad de control incluirá como mínimo:
- a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
- b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
- d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
El GDPR ha previsto la ordenación de las relaciones encargado-responsable. El encargado «notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento». Esta norma, a mi juicio, no está exenta de dificultades y obliga a desplegar una labor preventiva en la contratación de proveedores. Y muy particularmente cuando se trate de servicios completamente externalizados como el Cloud Computing.
En tal sentido, será fundamental establecer cuándo opera el deber de notificación frente a la autoridad de control. El criterio racional debería ser el del conocimiento efectivo por el responsable cuando se lo notifique el encargado. Tal tesis vendría avalada por el artículo 28.3.f) cuando señala que el contrato estipulará el modo en el que el encargado «ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado».
Sin embargo, a mi juicio cabe otra interpretación desde un enfoque radicalmente diverso: la accountability. Es decir, el GDPR recoge el principio de diligencia en la elección del encargado. En tal sentido el artículo 28.5 indica la confiabilidad de los encargados que se hayan adherido a un código de conducta o a un mecanismo de certificación. Y el considerando 81 es muy claro:
(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.
La consecuencia de este marco es que incluso eludiendo el incumplimiento del deber de notificación por razones imputables a una negligencia del encargado, cabría esperar la atribución de responsabilidades en términos de accountability. Por tanto, desde el punto de vista de la exigencia de responsabilidad por daños civiles del prestador, es necesario considerar en qué términos deberán pactarse o exigirse indemnizaciones a un encargado negligente.
Finalmente esta fase se acompaña de la labor de documentación de todas las violaciones, no sólo de las notificadas. Ello implica una labor exhaustiva que incluya para cada violación «los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas». Esta documentación debe estar a disposición de la autoridad de control y le permitirá verificar el cumplimiento de lo dispuesto en el artículo 33.