Evaluaciones de Impacto en Protección de Datos Personales PDF

TEMA 8 EVALUACIONES DE IMPACTO EN PROTECCIÓN DE DATOS PERSONALES 8.1. Introducción, método y objetivos El presente tema analiza el principio de protección de datos desde el diseño y por defecto, tal como lo contempla el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Este principio, como se verá, se concretiza en el conjunto de procesos y medidas técnicas preventivas que garantizan la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales. En concreto, se estudiará cómo ello constituye una necesidad que se deriva de todos los principios estudiados en el tema seis, con especial men- ción a los relativos a la minimización de datos y limitación del tratamiento. Así pues, con el objetivo de dotar de plena eficacia a los mismos, la protec- ción de datos desde el diseño y por defecto opera como una garantía técnica de prevención ex ante a posibles vulneraciones de los principios de protec- ción de datos, así como a eventuales infracciones relativas a los derechos de los interesados. De modo más específico, como corolario de este principio, se analizarán las Evaluaciones de Impacto en Protección de Datos Personales, que tienen como objeto de estudio el proceso de evaluación de impacto relativo a la protección de datos (conocido por las siglas EIPD) en los supuestos en los que las operaciones de tratamiento entrañen un alto riesgo para los derechos de las personas físicas. Adicionalmente, como una materia vinculada a las evaluaciones de impacto, y sin embargo pertenecientes a otro orden de consideraciones, no estrictamente vinculadas al cumplimiento normativo, se estudiará el con- cepto de amenazas, riesgos y brechas de seguridad. 8.2. Temas claves 8.2.1. El principio de protección de datos desde el diseño De acuerdo con el considerando 78 del Reglamento Europeo de Protección de Datos (RGPD), el derecho fundamental a la protección de datos requiere la adopción de medidas técnicas y organizativas apropiadas con el fin de garan- tizar el cumplimiento de los requisitos de su régimen jurídico, en concreto los principios relativos al tratamiento de datos personales. En este sentido, el responsable del tratamiento debe adoptar políticas internas y aplicar determinadas medidas que cumplan en particular los prin- cipios de protección de datos. Sin embargo, esta aplicación preventiva debe hacerse desde el diseño y por defecto, noción sobre la que profundizaremos más adelante. De momento, y siguiendo en el mismo considerando, dichas medidas a las que hemos hecho alusión pueden consistir, entre otras: Reducir al máximo el tratamiento de datos personales. Seudonimizar lo antes posible los datos personales. Dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Ello implica que los principios del régimen jurídico de protección de datos deben tenerse en cuenta ex ante, desde un punto de vista técnico, y no solo por el responsable del tratamiento, sino por el propio desarrollador del sof- tware. De este modo, el considerando citado observa que, desde el momento del desarrollo y diseño de las aplicaciones de gestión de bases de datos, los pro- ductores deben tener en cuenta el derecho a la protección de datos cuando «desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los respon- sables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos». De modo más específico, y saltando ya de los considerandos al articu- lado del RGPD, el art. 25 dispone que, teniendo en cuenta «el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento» el responsable del tratamiento deberá emplear las medidas técnicas y organizativas apropiadas con objetivo de aplicar de forma efectiva los principios de protección de datos. Esto será objeto de estudio del punto 1.3 y siguientes. Como puede intuirse, el principio de protección de datos desde el diseño es una manifestación del resto de principios que ya hemos estudiado ante- riormente, pero esta vez vinculándolos a una aplicación preventiva anterior incluso a la recogida, procesamiento y tratamiento de datos. Es decir, el legislador europeo entiende que los principios de protección de datos quedarían parcialmente vacíos de contenido y privados de su eficacia si el responsable del tratamiento los aplicara únicamente ex post, puesto que los principios, como el de minimización de datos o la limitación del trata- miento, requieren un proceso que opere desde el inicio. Piénsese, por ejemplo, en la necesidad de suprimir los datos, o bloquear- los para reservarlos a fines específicos derivados de un deber establecido en una norma con rango de ley, como corolario del paso del tiempo en relación con el principio de limitación del tratamiento. En este supuesto, no podemos confiar en que las medidas pertinentes (bloqueo o supresión) se apliquen automáticamente en el momento oportuno si no se ha tenido en cuenta este aspecto en el momento previo, coincidente con el proceso en el que el res- ponsable del tratamiento establece los fines para los que los datos han sido recabados. En este sentido, como señala la Agencia Española de Protección de Datos en su Guía referente a la privacidad desde el diseño, desde la 31.ª Confe- rencia Internacional de Comisionados de Protección de Datos y Privacidad del año 2009 bajo el título Privacy by Design: The Definitive Workshop, se entiende que este principio se manifiesta de forma múltiple: Principio 1 Principio 2 Principio 3 Principio 4 Principio 5 Principio 6 Principio 7 Proactivo, no reactivo. Preventivo, no correctivo. La privacidad como configuración predeterminada. Privacidad incorporada en la fase de diseño. Funcionalidad total: pensamiento «todos ganan». Aseguramiento de la privacidad en todo el ciclo de vida. Visibilidad y transparencia. Enfoque centrado en el sujeto de los datos. Elaboración propia. Principios Fundacionales de la Privacidad desde el Diseño de acuerdo con la 31.ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad del año 2009. De forma más concreta, el principio de protección de datos desde el diseño implica el concepto de responsabilidad proactiva, lo que conlleva que el responsable del tratamiento deba adelantarse a los posibles riesgos y bre- chas de seguridad. A esto se refiere el concepto de implementar un proceso preventivo, no reactivo o correctivo en función de las vulneraciones que se puedan ir produciendo sobre la marcha. Sobre ello volveremos en otras sec- ciones de este tema. De este modo, la privacidad debe operar como una configuración deter- minada y ya incorporada en la fase del diseño, asegurándola durante todo el ciclo de vida de los datos (recogida, estructuración en bases de datos, seu- donimización, tratamiento, bloqueo, supresión...). En esta línea, en las Directrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto Versión 2.0 Adoptadas el 20 de octu- bre de 2020 (Comité Europeo de Protección de Datos), se señaló la impor- tancia de entender el concepto de diseño por defecto, que hace referencia «a la toma de decisiones relativas a valores de configuración u opciones de tratamiento establecidos o prescritos en un sistema de tratamiento, como una aplicación informática, un servicio o un dispositivo periférico, o bien un procedimiento de tratamiento manual que afecte a la cantidad de datos per- sonales recogidos, a la extensión de su tratamiento, a su plazo de conserva- ción y a su accesibilidad». Ello implica que la base de datos con la que se opere debe tener preconfi- gurados una serie de parámetros que apliquen los principios de minimización de datos, limitación del tratamiento, etc., por lo que técnicamente se garantice su eficacia por las propias limitaciones del software utilizado, de modo que, por defecto, de acuerdo con las Directrices indicadas, el responsable del trata- miento no deba «recoger más datos de los que sean necesarios, ni realizar un tratamiento de los datos recogidos más amplio de lo necesario para sus fines, ni conservar los datos durante más tiempo del necesario. El requisito básico es que la protección de datos esté integrada en el tratamiento por defecto». Por otra parte, si el responsable del tratamiento opera con software de terceros, se deberá realizar una «evaluación de riesgos del producto y asegu- rarse de que las funciones que no tengan base jurídica o que no sean compa- tibles con los fines previstos del tratamiento estén desactivadas». Por último, debe tenerse presente que, de acuerdo con el art. 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se considerará infracción grave: La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679. La falta de adopción de las medidas técnicas y organizativas apro- piadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tra- tamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad ade- cuado al riesgo. Para la cabal comprensión de lo que se acaba de exponer, a continuación, pasaremos a analizar la evaluación de impacto relativa a la protección de datos (EIPD). 8.2.2. La evaluación de Impacto relativa a la Protección de Datos (EIPD) La evaluación de impacto relativa a la protección de datos (EIPD) se pre- senta como un proceso requerido por la propia naturaleza del principio de protección de datos desde el diseño. Por ello, en el considerando 84 RGPD se indica que, en los supuestos en los que las operaciones de tratamiento entrañen un alto riesgo para los derechos de las personas físicas, deberá llevarse a cabo una evaluación de impacto relativa a la protección de datos. Como ha señalado la doctrina (Millares Lopez, 2021), las EIPD son la versión europea de las Privacy Impact Assessment que ya venían operando en el mundo anglosajón en el ámbito de la protección de datos. De ahí que el informe de la Comisión Europea de 2012 referente a este proceso recibiera el nombre de Privacy Impact Assessment Framework for data Protection and privacy rights. En este informe la Comisión Europea señalaba la necesidad de que estos procesos estuvieran previstos en la ley, mandato que finalmente se vio cumplido años más tarde con el RGPD. De este modo, en el supuesto que la tecnología disponible no pueda garanti- zar los principios de protección de datos, la autoridad de control debe ser con- sultada antes del tratamiento. Sobre ello volveremos en la siguiente sección. En el articulado del RGPD, la EIPD se destina la sección III del Capítulo IV a\. En ella, se especifica que la EIPD deberá llevarse a cabo, especialmente, en estos supuestos: TRATAMIENTOS QUE REQUIEREN EIPD (RGPD) Evaluación sistemática de aspectos personales Tratamiento a gran escala de categorías especiales Cuando la evaluación sis- temática y exhaustiva de aspectos personales de per- sonas físicas que se base en un tratamiento automati- zado, con la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significati- vamente de modo similar. Fuente: elaboración propia Nótese que, en consonancia con la preocupación del legislador por las deci- siones automatizadas que produzcan efectos jurídicos sobre las personas (art. 22 RGPD), en este caso volvemos a toparnos con este concepto, pero ahora previsto como un supuesto que conlleva EIPD cuando este tipo de tratamiento opere de forma sistemática y exhaustiva, evaluando aspectos personales de las personas, y produciendo los mencionados efectos jurídicos sobre ellas. Cuando el tratamiento a gran escala de las cate- gorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los personales relati- vos a conductas e infrac- ciones penales a que se refiere el artículo 10. Observación sistemática a gran escala Cuando se produzca una observación sistemática a gran escala de una zona de acceso público. En esta línea, el legislador europeo también mostró preocupación por este tipo de tratamientos cuando operan con datos sensibles a gran escala, lo que, como se ha mostrado, también conlleva EIPD. Sin embargo, en este supuesto no es necesario que concurran las notas características de trata- miento automatizado con efectos jurídicos sobre las personas, sino que basta con que se den efectivamente tratamientos de datos sensibles a gran escala. Además de estos supuestos, la autoridad de control, en nuestro caso la Agencia Española de Protección de Datos (AEPD), debe publicar una lista adicional de tratamiento de datos que requieran EIPD. De este modo, la AEPD ha venido a añadir otra serie de supuestos que requieren un proceso de evaluación de amenazas y riesgos: Tratamientos que requieren EIPD (AEPD) 1\. Tratamientos que impiden perfilado o valoración de sujetos. 2\. Tratamientos que impliquen la toma de decisión automatizada. 3\. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva. 4\. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 10 del RGPD. 5\. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física. 6\. Tratamientos que impliquen el uso de datos genéticos para cualquier fin. 7\. Tratamientos que impliquen el uso de datos a gran escala. 8\. Tratamientos que impliquen la asociación, combinación o enlace de regis- tros de bases de datos de dos o más tratamientos con finalidades diferen- tes o por responsables distintos. 9\. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social 10\. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas. 11\. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato. Fuente: Elaboración propia. Adicionalmente, el art. 28.2 LOPDGDD contempla otra serie de tratamien- tos que pueden conllevar mayor riesgo: Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto pro- fesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los Cuando el tra- tamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales. Cuando se produjese el tratamiento no meramente incidental o acce- sorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas. Cuando el tratamiento implicase una evaluación de aspectos perso- nales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación eco- nómica, su salud, sus preferencias o intereses personales, su fiabili- dad o comportamiento, su solvencia financiera, su localización o sus movimientos. Cuando se lleve a cabo el tratamiento de datos de grupos de afecta- dos en situación de especial vulnerabilidad y, en particular, de meno- res de edad y personas con discapacidad. Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales. Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacio- nales respecto de los que no se hubiese declarado un nivel adecuado de protección. Cualesquiera otros que a juicio del responsable o del encargado pudie- ran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación. En cuanto a la EIPD, de acuerdo con el art.35.7 RGPD, deberá incluir, al menos: Evaluación de impacto relativa a la protección de datos Una descripción sistemática de las ope- raciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento. Una evaluación de la necesidad y la pro- porcionalidad de las operaciones de tra- tamiento con respecto a su finalidad. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanti- cen la protección de dos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los dere- chos e intereses legítimos de los interesa- dos y de otras personas afectadas. Fuente: elaboración propia. En esta línea, el Grupo de trabajo del art. 29, en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD), para deter minar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, resume de forma esquemática el proceso de evaluación EIPD: Por último, cabe destacar que, de acuerdo con el art. 35.10 RGPD, si nos encontramos en el contexto de tratamiento público de bases de datos, esto es, cuando el tratamiento tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro, y siempre y cuando las normas regulen la operación específica de tratamiento o conjunto de operaciones en cues- tión y se haya realizado una evaluación de impacto relativa a la protección de datos, los apartados 1 a 7 del precepto (es decir, lo que hemos visto en esta sección) no serán de aplicación, excepto si los Estados miembros con- sideran necesario proceder a dicha evaluación previa a las actividades de tratamiento. Consulta previa De acuerdo con el art. 36 RGPD, cuando una evaluación de impacto rela- tiva a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo, el res- ponsable del tratamiento deberá elevar una consulta con la autoridad de control. Esta consulta deberá contener la siguiente información: Las responsabilidades respectivas del responsable, los corresponsa- bles y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial. Los fines y medios del tratamiento previsto. Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Regla- mento. Los datos de contacto del delegado de protección de datos. La evaluación de impacto relativa a la protección de datos estudiada en la sección anterior. Cualquier otra información que solicite la autoridad de control. Llegados a este punto, la autoridad de control podrá recurrir a cualquiera de las potestades previstas en el art. 58 RGPD (poderes de investigación, poderes correctivos, poderes de autorización, poderes consultivos), si bien lo más recurrente sería llevar a cabo un asesoramiento al responsable del tratamiento. 8.2.3. Evaluación de amenazas y riesgos. Brechas de Seguridad El artículo 25 RGPD recuerda que también deberá tenerse en cuenta los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas. En este sentido, las normas ISO como la ISO 31000:2018(ES) Gestión del riesgo e ISO 31010:2019 Gestión del riesgo, definen este concepto como el «efecto de la incertidumbre sobre la consecución de objetivos». Por su parte, el Grupo de trabajo del art. 29 lo definía como «un escenario que describe un acontecimiento y sus consecuencias, estimado en términos de gravedad y probabilidad». Aplicado al régimen jurídico de protección de datos, el riesgo se mani- fiesta de forma compleja, pues como indica la AEPD en su Guía para la Ges- tión del Riesgo, este «surge tanto por la propia existencia del tratamiento, como por las dimensiones técnicas y organizativas del mismo». De este modo, el riesgo surge tanto por el tratamiento automatizado de datos como por su procesamiento manual en relación con los fines del tra- tamiento. Sin embargo, más allá de la EIPD, el RGPD no establece formali- dades específicas o procesos concretos que deban aplicarse para el análisis del riesgo, si bien estos deben poder obtenerse de los propios principios de protección de datos. En esta línea, la AEPD señala que debe tenerse en cuenta el tratamiento de los datos personales desde una perspectiva múltiple: el tratamiento en sí mismo, el tratamiento en el contexto interno de una organización, y el trata- miento en el contexto externo (normativo y social). Por ello, el riesgo viene asociado a una serie de consecuencias de diversa naturaleza (jurídicas, económicas, administrativas, sociales, comunicativas, fiscales...). Así pues, como señala el considerando 75 RGPD, los riesgos «pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpa- ción de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo». Consecuencia de ello es que el riesgo, más allá de los supuestos específi- cos que contempla la normativa en referencia a la EIPD (art. 35.3 RGPD), el principio de protección de datos desde el diseño debe aplicarse a aquellas posibles consecuencias que puedan afectar a cualesquiera bienes jurídicos de relevancia constitucional (libertad de expresión, libertad de pensamiento o ideológica, la libertad de circulación, prohibición de discriminación, derecho a la libertad o la libertad de conciencia y de religión), tal como ha señalado el Grupo de trabajo del art. 29 en las ya citadas Directrices. En este sentido debe leerse el art. 35.1 RGPD cuando dispone que cual- quier tratamiento que entrañe un alto riesgo para los derechos y libertades de las personas físicas deberá conllevar una evaluación del impacto de las operaciones. No obstante, no debe confundirse el análisis de riesgos con el cumpli- miento normativo per se, en especial con el régimen jurídico de protección de datos en referencia a las bases habilitantes para el tratamiento de datos. En esta línea, la AEPD señala acertadamente que «las medidas legales, téc- nicas y organizativas que pudieran plantearse como resultado de una ges- tión del riesgo para los derechos y libertades no justifican, por ejemplo, la inexistencia o utilización errónea de una determinada base jurídica para un tratamiento, tampoco, por ejemplo, la carencia de que concurra alguna de las excepciones que levantan la prohibición de tratar categorías especiales de datos» (Gestión del riesgo y evaluación de impacto en el tratamiento de datos personales, p. 18). De esta manera, la siguiente tabla de la AEPD muestra la distinción entre ambas dimensiones (garantía jurídica y gestión del riesgo): Garantía jurídica Contrato con el encargado de trata- miento cumpliendo los requisitos del artículo 28 del RGPD. Póliza de seguros para cubrir la respon- sabilidad de la organización ante una posible infracción del RGPD. Gestión de riesgos para los derechos y libertades Es una obligación de cumplimiento nor- mativo, no una gestión del riesgo. Supone una gestión del riesgo de cum- plimiento, pero no del riesgo para los derechos y libertades. La firma de un acuerdo de confidencia- lidad por parte del personal que tratan determinados datos. Puede ser una medida de gestión del riesgo para los derechos y libertades, en la medida que no relaja las obligaciones del responsable, sino que busca gene- ralizar el compromiso del personal que trata los datos. Fuente: AEPD, Gestión del riesgo y eva- luación de impacto en el tratamiento de datos personales. Así pues, con carácter previo al proceso de gestión de riesgos, el respon- sable del tratamiento debe haber llevado a cabo el análisis de cumplimiento normativo a los efectos de respetar los principios, bases habilitantes y dere- chos contemplados en el ordenamiento jurídico. Estudiadas las medidas de prevención como corolario del principio de pro- tección de datos desde el diseño y por defecto, cabe preguntarse qué ocurre si, por el contrario, o incluso pese a haber adoptado las medidas necesarias, se produce una brecha de seguridad. Las brechas de seguridad en materia de datos personales se definen como aquellos incidentes que puedan tener efectos adversos para las personas, que pueden ser perjuicios físicos o inmateriales. De este modo, y siguiendo el considerando 85 RGPD, estos efectos pue- den traducirse en: Pérdida de control sobre los datos personales Restricción de los derechos Discriminación Usurpación de identidad Pérdidas financieras Reversión no autorizada de la seudonimización Daño para la reputación Pérdida de confidencialidad de datos sujetos al secreto profesional; Cualquier otro perjuicio económico o social significativo para la persona Por otra parte, según el principio de protección de datos vulnerado, las violaciones pueden dividirse, según la clasificación del Grupo de Trabajo del art. 29, en violaciones de la confidencialidad, violaciones de la integridad y violaciones de la disponibilidad, que son causadas por diferentes tipos de incidente y ataques. Sin embargo, el concepto de brecha de seguridad en sentido amplio (denegación de servicio, códigos maliciosos, ciberincidentes en general como malware, phishing, etc.) desborda el objeto de estudio de este tema, por lo que a efectos de esta sección nos limitaremos a las brechas de datos personales. En este sentido, de acuerdo con los arts. 33 RGPD, en caso de producirse una violación de la seguridad de los datos personales, el responsable del tratamiento la «notificará a la autoridad de control competente de confor- midad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas». Por lo tanto, ante estos incidentes surge una obligación legal de notificar a la autoridad de control lo sucedido. En esta comunicación, se debe incluir la siguiente información: Comunicación de violaciones de seguridad Describir la naturaleza de la violación de seguridad de los datos personales, inclusive, cundo sea posible, las cate- gorías y el número aproximado de inte- resados afectados, y las categorías y el número aproximado de registros de datos personales afectados. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. escribir las posibles consecuencias de la violación de la seguridad de los datos personales. Describir las medidas adoptadas o propuestas por el responsable del tra- tamiento para poner remedio a la vio- lación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Fuente: elaboración propia. Adicionalmente, y de acuerdo con el art. 34 RGPD, «cuando sea proba- ble que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida». Por lo tanto, también se contempla una obligación ex lege de informar al intere- sado, y no solo a la autoridad de control. Sin embargo, el precepto contempla excepciones a esta obligación, cuando: El responsable del tratamiento haya adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se hayan apli- cado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligi- bles los datos personales para cualquier persona que no esté autori- zada a acceder a ellos, como el cifrado. El responsable del tratamiento haya tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1. Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. El cifrado de datos, como puede observarse, constituye así una garantía de prevención que, en caso de brecha de seguridad de datos, exime al respon- sable del tratamiento de informar al interesado. En el siguiente tema, cuando veamos las funciones del Data Protection Officer, tendremos ocasión de profundizar más en las brechas de seguridad y la comunicación con las autoridades de control. Por último, es necesario subrayar que la falta de cumplimiento de estos deberes de comunicación a la autoridad de control e interesado respectiva- mente constituyen infracciones graves, según dispone el art. 73 LOPDGDD.

Evaluaciones de Impacto en Protección de Datos Personales PDF

Document Details

Tags

Related

Summary

Full Transcript