Las medidas de seguridad en el Reglamento general de protección de datos.

Viene de GDPR IV

Notificación de una violación de la seguridad de los datos personales al interesado.

En esta materia, el artículo 35 precisa que el riesgo para la violación de la seguridad de los datos debe entrañar un alto riesgo para los derechos y libertades de las personas físicas. Si esto se produce, el responsable del tratamiento la comunicará al interesado sin dilación indebida. Este es un concepto jurídico indeterminado que a mi juicio admite dos interpretaciones. Si atendemos al Considerando 86, la finalidad de esta notificación no es meramente informativa, debe tener también por finalidad que el interesado pueda tomar las precauciones necesarias y mitigar los potenciales efectos adversos resultantes de la violación. Por tanto, la notificación se realizará

▪ Tan pronto como sea materialmente posible.

▪ Tan pronto como sea funcionalmente necesaria.

Este segundo aspecto es muy relevante ya que el interesado en muchas ocasiones podría ser parte de la solución al problema, por ejemplo provocando un cambio rápido de contraseñas.

Por otra parte, esta comunicación para cumplir con su función debe realizarse describiendo en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la siguiente información:

▪ el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

▪ las posibles consecuencias de la violación de la seguridad de los datos personales;

▪ las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

A mi juicio el despliegue de este último párrafo relativo a las medidas adoptadas,  debería incluir consejos o propuestas de acción al interesado, -“cambie de inmediato su contraseña”, “alerte a su entidad bancaria”, “verifique la veracidad de su información en nuestro sistema”-, cuando pudieran contribuir a paliar el impacto y a mitigar o evitar riesgos adicionales.  En todo caso el Considerando 86 nos ofrece criterios orientativos:

(86) (…) Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.

Hay que señalar que podría darse el caso de que el responsable haya notificado a la autoridad de protección de datos y no al interesado, y esta le ordene hacerlo.

El artículo 34.3 exime del deber de notificación al interesado en los siguientes supuestos:

  1. a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
  2. b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
  3. c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Obviamente cabe dar por reproducidas las consideraciones anteriormente realizadas relativas a la documentación del incidente de seguridad.

Por último, es muy importante entender que en esta materia la notificación al interesado y/o a la autoridad no completa necesariamente el ciclo de gestión del incidente. Hay que tener en cuenta la posibilidad, e incluso el deber jurídico, de notificar la violación y/o colaborar con otras autoridades competentes, por ejemplo en materia de ciberseguridad, y en particular con las autoridades policiales. En este sentido, el Considerando 88 introduce un criterio adicional muy relevante que implicaría diferir la notificación de la violación al «tener en cuenta los intereses legítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizar innecesariamente la investigación de las circunstancias de una violación de la seguridad de los datos personales.