brechas de seguridad

Una brecha de datos personales puede implicar algo más que el acceso por terceros ajenos a la organización a la información personal, Será también una brecha de datos personales el acceso no autorizado realizado por un miembro de la propia organización, el acceso autorizado cuando implique un tratamiento adicional o un exceso de sus funciones, además de la destrucción, pérdida o alteración accidental o ilícita de datos personales. En definitiva, cualquier incidente en un tratamiento de la entidad que trate datos personales, si afecta a los derechos y libertades de los interesados con relación a la protección de sus datos de carácter personal, será considerado como una brecha de datos personales.

De acuerdo con los últimos datos del segundo semestre de 2021, el 15% de las notificaciones de brechas recibidas en la Agencia las realizaron responsables del tratamiento cuyo sector de actividad principal es el asistencial en el ámbito de la salud. En este sentido,  mensualmente se recibe de media al menos una brecha que ha afectado a más de 200.000 personas en este sector. Ese porcentaje llega al 25% si se tienen en cuenta las brechas en otros sectores de actividad que tratan datos en el ámbito de la salud, como por ejemplo en el sector de los seguros de sanitarios. En definitiva, las brechas de datos personales se producen en tratamientos del sector salud con más frecuencia de la deseada y tienen un alto impacto personal y social.

Brechas de datos personales en el sector de la salud: Obligaciones del responsable del tratamiento

De forma directa y explícita, el RGPD establece tres obligaciones, en sus artículos 33 y 34, con respecto a una brecha de datos personales que afecte o suponga un riesgo para los derechos y libertades de los ciudadanos:

  • Primero. La obligación de notificar la brecha a la autoridad de control. El cumplimiento de esta obligación conlleva dos beneficios:
    • Un beneficio para la sociedad, ya que permite la creación de una sociedad resiliente, en particular en el marco de tratamientos con gran impacto social como son los realizados en el ámbito de la salud, gracias al hecho de compartir información a través de la Autoridad de Control adquirir un conocimiento valioso sobre los riesgos que comportan los tratamientos en el ámbito de la salud, su impacto real y cómo mitigar esos riesgos. Conocimiento que se comparte con responsables y encargados por medio los informes mensuales sobre notificaciones de brechas y de guías y entradas específicas sobre brechas de datos personales en el blog de la AEPD.
    • Un beneficio directo para la entidad, una vez que el responsable comunica las brechas en tiempo y forma, puede demostrar a la Autoridad de Control conocimiento de sus obligaciones y diligencia en el tratamiento de datos personales, al haber sido capaz de detectar y reaccionar ante la brecha de datos personales.
  • Segundo. La obligación de comunicar la brecha a las personas afectadas en caso de que suponga un alto riesgo para ellas. Esta obligación tiene dos beneficios obvios:
    • Un beneficio para el sujeto de los datos. Este, al conocer qué ha sucedido con sus datos, puede tomar conciencia y ejecutar medidas personales para protegerse de los posibles impactos que pueda tener la brecha para sus derechos y libertades.
    • Un beneficio para lo organización. Una organización que reacciona de forma ágil y transparente ante una potencial amenaza contra sus empleados y clientes es una organización que genera confianza y seguridad. No hay nada peor que los interesados tengan conocimiento a través de terceros de que sus datos, que ha confiado a una entidad, puedan haber sido filtrados de forma incontrolada, o ser usados en su contra sin tener ningún aviso previo.
  • Tercero. La obligación del responsable actuar más allá de la notificación y la comunicación de la brecha producida. El responsable tiene la obligación documentar cualquier brecha de los datos personales, incluidos los hechos relacionados con ella, los efectos que ha causado la brecha y las medidas correctivas adoptadas. Esto último implica, además, realizar un análisis y gestión del incidente que implique las necesarias modificaciones del tratamiento y sus garantías para evitar que se vuelva a producir la brecha.

Hay que destacar que las obligaciones de notificación a la Autoridad de Control y de comunicación a los interesados se ha de realizar, cuando proceda, sin dilación indebida. Es decir, que cuando sea obligatorio proceder a la notificación y/o comunicación esta se ha de ejecutar a la mayor celeridad sin que hayan de interferir en el proceso de ejecución otras consideraciones que la de proteger los intereses de los interesados y de la sociedad en su conjunto. Además, en el caso de las notificaciones a la Autoridad de Control, esta notificación no ha de exceder las 72 horas desde el conocimiento de la brecha por el responsable (para más detalle consultar el RGPD art.33.4, 34.3 y la Guía para la Gestión de Brechas de Datos Personales).