Cada vez es más frecuente que las entidades públicas y privadas responsables del tratamiento de los datos personales se vean afectadas por incidentes de seguridad (normalmente provocados de forma intencionada por ciberdelincuentes) que ponen el riesgo la integridad, confidencialidad o disponibilidad de los mismos. Ante dichas situaciones, los artículos 33 y 34 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de Protección de Datos Personales, regulan los casos y condiciones en que será obligatoria la notificación de la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) y la comunicación a los perjudicados.
En este artículo vamos a centrarnos en los casos en que se requiere comunicar la brecha de seguridad a los afectados, lo que parece estar menos interiorizado entre los responsables del tratamiento, resultando en un primer momento, como es lógico, especialmente desagradable y comprometido.
En primer lugar, hay que tener claro lo importante de esta comunicación, ya que es el mecanismo más eficaz para intentar evitar las consecuencias indeseables por la brecha en los datos personales que puede recaer directamente en los propietarios de los mismos.
Respecto a cuándo es necesario comunicarlo, es importante dejar claro que no en todos los casos es obligatoria dicha comunicación, solo cuando se produzca o se pueda llegar a producir un riesgo alto para los derechos y libertades de los perjudicados. Esto excluye los incidentes en que el responsable del tratamiento ha adoptado medidas previas (como el cifrado de los datos o la pseudonimización) de protección técnica y organizativas o posteriores al incidente (como el bloqueo o eliminación de contraseñas de acceso) que garanticen que no exista la probabilidad de que se concretice el alto riesgo mencionado. También en aquellos casos en que la poca entidad de los datos objeto de ataque o pérdida, implique que su uso ilegítimo no represente ningún riesgo para los perjudicados. Finalmente, el RGPD recoge una excepción a la necesidad de comunicación personal a cada interesado, que se produciría en los casos en que no se contase, por ejemplo, con ningún medio de contactar con éstos. En dichos supuestos sería suficiente con la realización de una comunicación pública por la que se pudiera informar de manera efectiva a los interesados.
En cuanto al plazo de comunicación, debe ser “sin dilación indebida”, según recoge expresamente el RGPD, y por los medios con los que se cuente (es importante que se pueda verificar o demostrar que se ha realizado la comunicación de manera efectiva): Mediante email, SMS, mensajería instantánea, correo postal, etc.
Otra cuestión muy importante es el contenido mínimo de dicha comunicación. Así, no bastará con cualquier texto informativo, sino que, al menos, deberá incluir:
- Qué ha ocurrido: Describir si se trata de un ciberincidente, ciberataque, envío de datos por error, pérdida de documentación/dispositivo, etc.
- A qué datos ha afectado: Especificar si concierne a datos básicos, de contacto, email, usuario y contraseña, copias de DNI o pasaporte, contratos, facturas, perfiles, localizaciones, etc.
- De qué manera: Concretar si es por un acceso ilegítimo, datos extraídos, revelados a terceros o públicos, alterados, eliminados, inservibles o no disponibles, etc.
- Posibles consecuencias: Como el menoscabo en los derechos fundamentales del interesado, la imposibilidad de ejercer determinados derechos, posible suplantación de identidad, la imposibilidad de prestar correctamente un servicio, fraudes, discriminación, daños físicos o psicológicos, etc.
- Posibles circunstancias agravantes de las referidas consecuencias: Como el hecho de que el destinatario ilegítimo de los datos sea una persona denunciada por el propio perjudicado, que la contraseña que pudiera estar comprometida se use habitualmente por el interesado en otros servicios, o que los datos fueran susceptibles de publicarse de forma abierta en internet, por ejemplo.
- Medidas tomadas o propuestas por el responsable del tratamiento: Referidas a la solución de la brecha o minimización del riesgo.
- Finalmente, se deben incluir los datos identificativos y de contacto del responsable del tratamiento, así como los del DPD (en caso de contar con él) u otro medio de contacto para ampliar información.
Finalmente, vamos a hacer referencia a algunas recomendaciones puntuales que realiza la AEPD respecto a estas comunicaciones, como son: 1) No utilizar expresiones que distorsionen el mensaje, tales como “sus datos no están en riesgo”, “no corre riesgo”, “sus datos no se han visto afectados”, “puede estar tranquilo, ya lo hemos denunciado a la AEPD…”; 2) No omitir detalles relevantes, para que las personas puedan valorar el riesgo de forma adecuada y conforme a sus circunstancias particulares; 3) Tener claro de que esta comunicación no se contrae en todos los casos a una única acción, sino que puede y debe ejecutarse en distintas acciones atendiendo a la información que tenga el responsable sobre la magnitud de la brecha, las personas afectadas o los avances en la investigación o resolución que puedan ser del interés de los perjudicados para la efectividad de las medidas que puedan adoptar personalmente para reducir el impacto de la brecha.