Asesora Brecha ofrece orientación a los responsables para determinar si deben informar a la autoridad de supervisión sobre una brecha de datos personales, mientras que Comunica-Brecha proporciona apoyo en la tarea de notificar a los afectados sobre una brecha de datos personales. Estas nuevas funcionalidades se han incorporado tras recoger y considerar las sugerencias hechas por los delegados de protección de datos del ámbito público, con los cuales la Agencia ha mantenido diversas reuniones. Estas herramientas permiten la descarga de un informe completo que incluye las respuestas proporcionadas en las herramientas, de manera que se pueda completar posteriormente y guardar como documentación interna.
Novedades de las actualizaciones de ambas herramientas
La principal novedad en las actualizaciones de estas herramientas es que, al concluir su ejecución, los responsables y los delegados de protección de datos (DPDs) tienen la opción de descargar un informe completo que contiene las respuestas proporcionadas en la herramienta y el resultado obtenido. De esta manera, pueden agregar la información básica sobre el tratamiento afectado por la brecha y conservar este informe como parte de su documentación interna relacionada con la misma.
Esta característica se incorporó después de recibir aportaciones de los delegados de protección de datos del sector público durante las reuniones organizadas por la Agencia con DPDs de la Administración General del Estado, Administraciones Autonómicas y Entidades Locales.
Además, en el caso de Comunica-Brecha, el informe incluye una plantilla para una posible comunicación a los afectados. Los responsables pueden completar y utilizar esta plantilla para asegurarse de que su comunicación a los afectados cumple con los requisitos mínimos establecidos en el artículo 34 del Reglamento General de Protección de Datos (RGPD).
Es importante destacar que en el último año, la AEPD ha recibido más de 2.100 notificaciones de brechas de datos, lo que refleja una alta incidencia de situaciones en las que la orientación proporcionada por la Agencia puede ser fundamental para gestionar adecuadamente este tipo de incidentes. Además, estas brechas han resultado en un total de 31 requerimientos dirigidos a los responsables para que cumplan con su obligación de informar a los afectados.
Asesora Brecha
El RGPD establece la obligación que tienen los responsables que tratan datos personales de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que hayan tenido constancia de la misma, salvo que sea improbable que dicha brecha constituya un riesgo para los derechos y libertades de las personas.
Esta herramienta asesora sobre quién tiene que notificar; qué situaciones se corresponden con una brecha de datos personales y cuáles no; cuál es el organismo competente (la AEPD, las autoridades autonómicas de protección de datos u otras autoridades de Estados Miembros de la UE), y si esa brecha de datos personales debe ser notificada o no en función del riesgo mediante el formulario de notificación de brechas.
Esta herramienta está ordenada en secciones ‒obligación /responsabilidad; brecha; competencia, y riesgo, confidencialidad, disponibilidad e integridad‒ de forma que no sea necesario completar el formulario íntegro en todos los casos. Una vez finalizado, los datos aportados durante el proceso se eliminan, por lo que la AEPD no puede conocer la información aportada.
Comunica-Brecha
La utilización de Asesora Brecha es independiente de la obligación de comunicar brechas de datos personales a los afectados, para cuyo caso la AEPD dispone de Comunica-Brecha RGPD. El RGPD establece que aquellos que sufran una brecha de datos personales deben comunicárselo a los afectados cuando sea probable que ésta suponga un alto riesgo para sus derechos y libertades.
El propósito de Comunica-Brecha RGPD es promover la transparencia y responsabilidad proactiva entre los responsables, en un ejercicio que permita a los afectados por una brecha conocer cuándo dichos derechos y libertades pueden estar en riesgo y así poder tomar las medidas para salvaguardarlos.
Esta herramienta se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos que pueden ser indicativos del riesgo asociado a una brecha de datos personales. Al igual que en Asesora Brecha, la Agencia no almacena los datos consignados durante el proceso.
Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta ofrece como respuesta tres posibles escenarios: que se debe notificar la brecha de datos personales a los afectados al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo.
El uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de datos personales y el resto de los factores que permiten obtener una valoración del riesgo acertada.
Mediante la introducción de estas mejoras, la Agencia persiste en su esfuerzo por ofrecer herramientas sin coste alguno que asistan a los responsables en el cumplimiento de los requisitos establecidos por las leyes de protección de datos.
Fuente oficial: AEPD