Incidencia LOPD ¿cómo actuar?
Últimamente ha sido noticia la incidencia LOPD de seguridad de la web de citas Ashley Madison. Más allá del revuelo social que ha levantado, el caso es que es cada vez más habitual que se den a conocer este tipo de casos que pueden afectar la seguridad de los datos.
La regulación actual en relación a cómo actuar en caso de incidencia, difiere en función de qué tipo de empresa la ha sufrido, pero esta situación puede cambiar en el caso de que se acabe aprobando el tantas veces citado Reglamento General de Protección de datos.
¿Qué hacer en caso de una incidencia LOPD?
El RLOPD, define incidencia como «cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos» y también regula que el proceso de «notificación, gestión y respuesta», debe quedar recogido en el Documento de Seguridad.
Esta obligación resulta aplicable para cualquier empresa o entidad que trate datos personales, con independencia del nivel de seguridad exigible a las mismas. Esencialmente pues, cualquier empresa que trate datos, deberá disponer de un sistema para registrar cada incidencia donde se incluya, al menos, «el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quien se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas «.
En el caso de que la empresa trate datos de nivel medio o alto, además de lo anterior deberá registrar «los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso , qué datos ha sido necesario grabar manualmente en el proceso de recuperación «.
¿Debe comunicarse a la AEPD o a la persona afectada por la incidencia LOPD?
A fecha de hoy, no. Esta obligación es únicamente exigible actualmente los operadores de servicios de comunicaciones electrónicas que según la Ley General de Telecomunicaciones (art. 41) deberán, sin dilaciones, las violaciones que puedan afectar a datos personales, a la AEPD y en caso de que esta violación o incidencia, pudiera afectar «a la intimidad o a los datos personales de un abonado», esta comunicación deberá incluir al propio afectado.
¿En el futuro qué?
La obligación de notificar las incidencias en materia de protección de datos, fue incluida desde la primera versión del Reglamento General de Protección de Datos, presentada en el lejano enero de 2012. Este mes de junio, se ha presentado una última versión que mantiene esta obligación para cualquier tipo de empresa.
A falta de ver cómo queda finalmente, se incluye la obligación de notificar las incidencias en un plazo máximo de 72 horas a la AEPD (en el caso de España) y los afectados (sin determinar plazo), siempre que la misma pueda tener un elevado riesgo de afectar «a los derechos y libertades de las personas, como la discriminación, robo de identidad o fraude, pérdidas financieras, daño a la reputación, reversión no autorizada en un proceso de pseudonomizació, pérdida de confidencialidad de datos protegidos por el secreto profesional u otras pérdidas económicas o desventajas sociales «.
Veremos como queda, pero en caso de que el Reglamento adelante, las obligaciones de las empresas en caso de incidencias, podrían aumentar significativamente.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!