Incidencia LOPD ¿cómo actuar?

Esta semana ha sido noticia la incidencia de seguridad de la web de citas Ashley Madison. Más allá del revuelo social que ha levantado, el caso es que es cada vez es más habitual que se den a conocer este tipo de casos que pueden afectar la seguridad de los datos. La regulación actual en relación a cómo actuar en caso de incidencia, difiere en función de qué tipo de empresa la ha sufrido, pero esta situación puede cambiar en el caso que se acabe aprobando el tantas veces mencionado Reglamento General de Protección de Datos.

Incidencia LOPD
Incidencia LOPD

 

¿Qué hacer en caso de una incidencia?

El RLOPD, define incidencia como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos” y también regula que el proceso de “notificación, gestión y respuesta“, debe quedar recogido en el Documento de Seguridad. Esta obligación resulta aplicable para cualquier empresa o entidad que trate datos personales, con independencia del nivel de seguridad exigible a los mismos. Esencialmente pues, cualquier empresa que trate datos, deberá disponer de un sistema para registrar cada incidencia dónde se incluya, al menos, “el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas“. En el caso que la empresa trate datos de nivel medio o alto, además de lo anterior deberá registrar “los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación“.

 

¿Debe comunicarse a la AEPD o a la persona afectada por la incidencia?

A fecha de hoy, no. Esta obligación es únicamente exigible actualmente a los operadores de servicios de comunicaciones electrónicas que según la Ley General de Telecomunicaciones (art. 41) deberán comunicar, sin dilaciones, las violaciones que puedan afectar a datos personales, a la AEPD y en caso que dicha violación o incidencia, pudiera afectar “a la intimidad o a los datos personales de un abonado”, esta comunicación deberá incluir al propio afectado.

 

En el futuro ¿qué?

La obligación de notificar las incidencias en materia de protección de datos, fue incluida desde la primera versión del Reglamento General de Protección de Datos, presentada en el lejano enero de 2012. Este mes de junio, se ha presentado una última versión que mantiene esta obligación para cualquier tipo de empresa. A falta de ver cómo queda finalmente, se incluye la obligación de notificar las incidencias en un plazo máximo de 72 horas a la AEPD (en el caso de España) y a los afectados (sin determinar plazo), siempre que la misma pueda tener un elevado riesgo de afectar “a los derechos y libertades de las personas, como la discriminación, robo de identidad o fraude, pérdidas financieras, daño a la reputación, reversión no autorizada en un proceso de pseudonomización, pérdida de confidencialidad de datos protegidos por el secreto profesional u otras pérdidas económicas o desventajas sociales“.

Veremos cómo queda, pero en caso de que el Reglamento avance, las obligaciones de las empresas en caso de incidencias, podrían aumentar significativamente.

La legalidad de tu empresa,
en las mejores manos


93 540 43 32