El Comité Europeo de protección de datos publica nuevas directrices sobre la notificación de brechas de seguridad

2021-02-04T17:34:00

El pasado 14 de enero de 2021, el Comité Europeo de Protección de Datos (el “Comité”) publicó nuevas directrices sobre ejemplos relativos a la notificación de brechas de seguridad (las “Directrices”) con el fin de complementar las que adoptó el Grupo de Trabajo del artículo 29 en febrero de 2018. El texto se encuentra en fase de audiencia pública hasta el 21 de marzo de 2021, por lo que no se trata de la versión definitiva.

El Comité Europeo de protección de datos publica nuevas directrices sobre la notificación de brechas de seguridad
4 de febrero de 2021

El pasado 14 de enero de 2021, el Comité Europeo de Protección de Datos (el “Comité”) publicó nuevas directrices sobre ejemplos relativos a la notificación de brechas de seguridad (las “Directrices”) con el fin de complementar las que adoptó el Grupo de Trabajo del artículo 29 en febrero de 2018. El texto se encuentra en fase de audiencia pública hasta el 21 de marzo de 2021, por lo que no se trata de la versión definitiva.

El objetivo que persiguen las Directrices es abordar las cuestiones más relevantes que deben tener en consideración los responsables de tratamientos al enfrentarse a brechas de seguridad. Para ello, las Directrices se sirven de experiencias vividas por las diferentes autoridades de control en materia de protección de datos de los Estados miembros desde la entrada en vigor del Reglamento General de Protección de Datos.

En primer lugar, las Directrices incluyen algunas nociones generales referidas a las violaciones de seguridad. Se señala la necesidad de saber identificar las brechas de seguridad en primer lugar, para así dar cumplimiento al resto de obligaciones: documentarlas, notificarlas a la correspondiente autoridad supervisora cuando así lo exija la normativa y se derive de la correspondiente ponderación de derechos, o informar a los interesados afectados cuando sus derechos y libertades fundamentales pudieran verse afectadas.

A continuación, las Directrices se estructuran en cinco grupos de supuestos que constituyen brechas de seguridad, a saber: (i) ataques ransomware; (ii) filtraciones de datos; (iii) errores de naturaleza humana, intencionados o no; (iv) pérdida o robo de dispositivos y documentación; (iv) envíos de comunicaciones por error humano; y (v) otros escenarios, como el de ingeniería social.

A su vez, en cada uno de los citados grupos se incluyen varios ejemplos concretos de brechas de seguridad y para cada caso, se analiza cómo deben gestionar la situación los responsables del tratamiento. En particular, se expone cuáles son las medidas preventivas a adoptar y se ofrece una evaluación de riesgos en atención a las circunstancias de cada caso. A continuación, se describen mecanismos para mitigar las posibles consecuencias derivadas de la brecha de seguridad y las obligaciones a cumplir por el responsable con carácter posterior a la violación de seguridad.

Desde el blog, seguiremos la evolución de la fase de consulta pública y os mantendremos informados acerca del contenido de la versión definitiva.

Autores: Alejandro Negro y Paula Conde

4 de febrero de 2021