Nueva ley europea de protección de datos: filtraciones de información

A partir del 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) introducirá en nuestro ordenamiento jurídico duras sanciones para las filtraciones de información, con un amplio ámbito de aplicación. Las empresas, así como otras entidades encargadas del tratamiento de datos se convierten así en potenciales objetivos de posibles acciones de responsabilidad por daños, sino también de multas administrativas impuestas por las autoridades supervisoras.

Además de las referidas sanciones, las entidades también podrían sufrir daños en la reputación resultantes de filtraciones de información, que a partir de ahora estarán sujetas a una notificación obligatoria. Así, las empresas y otras entidades encargadas del tratamiento de datos se deben organizar de tal manera, que les permita prevenir filtraciones de información, y aun cuando éstas ocurran, reaccionar a las mismas de una manera rápida y eficaz.

Detectando filtraciones

En primer lugar, las entidades han de ser capaces de detectar filtraciones de información. Sólo quien sabe exactamente lo que ha fallado puede arreglarlo. Para identificar filtraciones de información, formar a la plantilla e involucrar al Delegado de Protección de Datos (DPO) son inevitables.

Gestionando los registros

El reglamento obliga como novedad a documentar todas las filtraciones de información. Las filtraciones de información, sus causas y sus efectos han de quedar registrados adecuadamente. Estos registros indican qué interfaces, procesos y medidas son efectivos y cuáles han de ser optimizados.

Tomando medidas

Obviamente, la detección y el registro no son suficientes. El departamento competente, el consultor de tecnologías de la información y el DPO (si es que hay alguno) tienen que definir conjuntamente las medidas necesarias. Además, al margen de una posible filtración de datos, también es recomendable evaluar regularmente las medidas de seguridad en términos de efectividad y eficiencia, registrando cada resultado.

Evaluando los riesgos

Una vez se hayan determinado las medidas necesarias, deben analizarse los riesgos que afectan a los derechos e intereses de las personas afectadas, la reducción del riesgo que se pueda alcanzar gracias a las medidas previstas y el riesgo residual que permanecerá pese a la adopción de dichas medidas. La evaluación del riesgo ha de aportar consideraciones respecto a si la información personal que puede quedar comprometida es concluyente o si la situación económica, la salud, la fiabilidad o el rendimiento laboral de las personas han podido verse afectadas.

Notificando la filtración

A la luz del resultado de la evaluación del riesgo, la empresa decide donde hay un riesgo residual leve, normal o elevado. Es necesario documentar la evaluación y el razonamiento para la clasificación de los riesgos. En caso de riesgos residuales leves, no existe la obligación de notificar. En el caso de riesgos normales, el asunto ha de elevarse a la autoridad supervisora competente, incluyendo información sobre la naturaleza de la posible filtración de información, la naturaleza y el alcance de la información y los sujetos a los que se refieren dichos datos, así como los riesgos restantes que se hayan identificado y las medidas previstas y tomadas. Después, la empresa ha de determinar las medidas posteriores, junto con la autoridad supervisora. Los incidentes de alto riesgo han de ser notificados tanto a la autoridad supervisora como a los sujetos a los que se refieren los datos. En términos de lenguaje, la empresa ha de asegurar que la información transmitida es transparente y comprensible.

Se aconseja a todas las entidades establecer un plan de contingencia que describa los procesos y las tareas específicas que deben llevar a cabo en el caso de un incidente de filtración de datos.

Si tuviera cualquier duda, por favor, no dude en ponerse en contacto con nosotros en cualquiera de nuestras oficinas.