Directrices 01/2021 del EDPB sobre ejemplos de notificación de brechas de seguridad
13 de enero de 2022
El 14 de diciembre de 2021 se publicó por el Comité Europeo de Protección de Datos (en adelante, “EDPB”, por sus siglas en inglés) un documento que analiza las circunstancias de determinados supuestos de brechas de seguridad y proporciona ciertas directrices (en adelante, la “Guía”[1]) para su gestión y comunicación tanto a interesados como a las Autoridades de Control (en adelante, “AC”), así como los factores a tener en cuenta cuando se realiza un análisis de riesgos.
El Grupo de Trabajo del Artículo 29 ya elaboró unas directrices generales sobre la notificación de brechas de seguridad en octubre de 2017[2]. Sin embargo, dicho documento no abordaba el tema de forma tan práctica como la actual Guía, que contiene el análisis de casos ficticios basados en supuestos investigados por las distintas AC desde que empezó a aplicarse el Reglamento General de Protección de Datos.
El EDPB destaca en la Guía que las brechas de seguridad pueden ser síntoma de un sistema de seguridad vulnerable dentro de la organización y dan pistas sobre cómo fortalecer las debilidades del mismo. Asimismo, insiste en la importancia de la prevención, que debe centrarse en buscar la causa del problema y determinar la solución para que no vuelva a suceder. De igual manera, se pone énfasis en la formación y concienciación en materia de seguridad para empleados como medida preventiva.
El EDPB indica que en algunos casos no es necesario esperar a realizar la notificación a la AC hasta que el análisis de riesgos sea completo y el impacto determinado. Así, la evaluación puede llevarse a cabo en paralelo y proporcionarse la información a la AC en momentos posteriores.
En términos generales, lo que se debe tener en cuenta el momento de realizar la evaluación del riesgo, es la naturaleza, la sensibilidad, el volumen y el contexto de los datos personales afectados como consecuencia de la brecha. Por ello, para determinar el nivel de riesgo y así prevenir que se produzcan nuevas brechas, o que la misma persista y sea continuada, es esencial realizar análisis exhaustivos y recopilar información exacta sobre el caso concreto.
En el presente documento analizamos cada uno de los casos expuestos por el EDPB destacando las acciones correspondientes respecto de la comunicación a la AC y/o a los interesados. Adicionalmente, en el Anexo figuran, en mayor detalle, las principales cuestiones expuestas en la Guía en relación con las medidas preventivas, mitigadoras y correctoras recomendadas por el EDPB en cada uno de los supuestos.
Reciba un cordial un saludo,
Área de TMT de ECIJA