Una de las principales novedades que ha traído la aplicación del Reglamento General de Protección de Datos (RGPD) es el cambio de enfoque respecto a la normativa anterior. Y es que, mientras que el anterior régimen normativo formado por la Ley Orgánica de Protección de Datos y el Real Decreto que la desarrollaba, partían de un enfoque reactivo y correctivo, la nueva normativa europea introduce un enfoque proactivo y preventivo, formado por principios a aplicar y obligaciones a cumplir orientadas a evitar que los riesgos e incumplimientos lleguen a materializarse.
Este cambio de enfoque encuentra su principal pilar en el principio de responsabilidad proactiva (la famosa accountability del derecho anglosajón) el cual establece que los responsables del tratamiento no solamente deben cumplir con las exigencias de la normativa, sino que también tiene que ser capaces de demostrar dicho cumplimiento. Una de las medidas más novedosas que forman este principio es la obligación que tienen los responsables de tratamiento de notificar las violaciones de seguridad a las autoridades de control e incluso, en ciertos supuestos, a las personas titulares de los datos.
El RGPD define las violaciones de la seguridad de los datos personales como incidentes que ocasionen la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” (art. 4.12 RGPD). Siguiendo esta definición, pueden constituir una violación de seguridad tanto la pérdida de un pen drive que contiene datos personales, como un ataque informático a las bases de datos de una compañía. El requisito principal es que el incidente cause un riesgo para los derechos y libertades de las personas físicas titulares de los datos.
Para los responsables del tratamiento, empresas y/o administraciones públicas que tratan datos personales, el RGPD impone la obligación de “auto-denunciarse” ante la autoridad de control en caso de que tengan constancia de que se haya producido una violación de seguridad relacionada con los datos personales que suponga un riesgo para los derechos y libertades de las personas físicas titulares de dichos datos. Así, puede darse la circunstancia de que una empresa sufra un ataque informático, pierda un disco duro, o envíe datos a terceras personas por error, y tenga que sacarse los colores ante la autoridad de control informándole de lo que ha sucedido. Esta obligación de notificación supone que los responsables del tratamiento tienen que dar un paso adelante, y ser capaces de admitir que algo ha fallado en sus medidas de seguridad técnicas u organizativas y que, a causa de ello, se ha sufrido un incidente con consecuencias para la privacidad de personas que confiaron en su organización para tratar sus datos personales. Con esta obligación de “auto-denunciarse” el legislador busca que las organizaciones, para evitar el escarnio público, aumenten sus medidas de seguridad, así como su transparencia con las personas titulares de los datos.
Por tanto, la exigencia de actuar bajo el principio de responsabilidad proactiva, unida al endurecimiento del régimen sancionador con sanciones que pueden llegar hasta los 20.000.000€, hacen fundamental contar con una adecuada cultura de cumplimiento normativo, con personal concienciado y formado en la materia y con asesores expertos que conozcan la normativa y ayuden a la organización a cumplirla y a integrarla dentro de sus procesos. Y es que, contar con procedimientos que ayuden a cumplir la normativa en protección de datos no solo nos evitará incumplimientos y las temidas sanciones, sino que redundará en una mayor transparencia, agilización de los procedimientos internos y, en definitiva, una mejora de la imagen de nuestra organización.
Lectura recomendada: Guía de la AEPD para la gestión y notificación de brechas de seguridad.
