Entre los recursos de la Agencia Española de Protección de Datos (AEPD) disponibles para responsables y encargados del tratamiento, encontramos Asesora Brecha, una herramienta que puede ayudarnos a saber si necesitamos o no notificar una brecha de seguridad a la AEPD.
En este artículo hablamos de:
¿Qué es Asesora Brecha?
Asesora Brecha es uno de los recursos que podemos encontrar en la página web de la AEPD; esta herramienta puede ayudar a responsables del tratamiento, así como a otros cargos y personas, a determinar si necesitan notificar una brecha de seguridad que hayan podido sufrir en sus sistemas.
Esta herramienta complementa así a Comunica-Brecha RGPD, que permite determinar en función de la información facilitada sobre el incidente, si es necesario notificar a los interesados cuyos datos hayan podido verse afectados.
Cabe recordar que cuando se produce una brecha de seguridad que pueda exponer los datos personales que trata una empresa u organización, el RGPD y la LOPDGDD establecen la obligación de notificar dicha brecha en un plazo máximo de 72 horas tanto a la autoridad de control (la AEPD en España) como a los interesados afectados, siempre y cuando las consecuencias de la brecha de seguridad puedan afectar o poner en riesgo los derechos y libertades de los interesados.
Es muy posible que cuando sufrimos un incidente de seguridad, no tengamos claro si debemos o no notificarlo a la AEPD y los interesados, la herramienta Asesora Brecha de la AEPD tiene como objetivo indicarnos, a través de la información sobre el incidente que le proporcionemos, si debemos o no notificar la brecha de seguridad que hemos sufrido.
Es importante señalar que utilizar Asesora Brecha no exime al responsable de comunicar a la AEPD la brecha de seguridad, cuando así se recomiende, puesto que estamos ante una herramienta de asesoramiento y no de comunicación o envío de información a la AEPD, como sí sería el caso al notificar la brecha a través de la Sede Electrónica de la Agencia.
¿Quién puede usar Asesora Brecha?
La herramienta está pensada, principalmente, para ser usada por responsables del tratamiento, pero también pueden usar Asesora Brecha delegados de protección de datos, encargados del tratamiento y consultores para obtener información con la que asesorar al responsable del tratamiento con el que tengan relación.
¿Cómo funciona Asesora Brecha?
Asesora Brecha es una herramienta gratuita y fácil de usar, a la que podemos acceder desde el apartado de «Herramientas» en «Publicaciones y resoluciones» de la página web de la AEPD.
Una vez hayamos accedido a ella, la herramienta nos guiará a través de una serie de preguntas a modo de cuestionario, que deberemos responder de acuerdo a la información que tenemos sobre el incidente de seguridad y los datos personales que se hayan podido ver afectados.
El cuestionario está dividido en varias secciones, por las que iremos pasando; dependiendo del incidente de seguridad y de si los datos personales han podido verse o no afectados, y en qué manera, solo tendremos que contestar a algunas preguntas. En concreto, la herramienta se divide en:
- Obligación (¿somos responsables o encargados del tratamiento? ¿DPO?, ¿asesores en protección de datos?)
- Brecha (¿el incidente ha afectado a la confidencialidad, integridad y/o disponibilidad de los datos?)
- Responsabilidad (¿somos el responsable o el encargado del tratamiento o ambos?)
- Competencia (para determinar a qué autoridad de control debemos informar)
- Riesgo (para los derechos y libertades de los interesados)
- Confidencialidad (¿se han filtrado, publicado o divulgado los datos?)
- Disponibilidad (¿los datos no son accesibles o no están disponibles?)
- Integridad (¿se han alterado o modificado los datos?)
- Notificar, dependiendo de las respuestas que vayamos dando en uno o varios apartados en los que se divide Asesora Brecha, al final nos indicará si debemos notificar la brecha de seguridad o, por el contrario, no es necesario hacerlo.
Una vez hayamos terminado de usar Asesora Brecha, la herramienta elimina la información proporcionada, sin almacenarla.
¿Qué debo hacer si el resultado es «notificar la brecha»?
En el caso de que el resultado que arroje Asesora Brecha sea «notificar la brecha», si somos los responsables del tratamiento, deberemos proceder a notificar la brecha tanto a la AEPD como los interesados cuyos datos hayan podido verse afectados (si tenemos dudas respecto a notificar o no a los interesados, podemos recurrir a Comunica-Brecha RGPD para determinarlo), tal y como se establece en el artículo 33 y 34 del RGPD.
La notificación a la AEPD la realizaremos a través de su Sede Electrónica, en el apartado de «Trámites», «Notificación de brechas de datos personales». Mientras que la notificación a los interesados deberemos realizarla bien de manera individual (mediante email o correo postal) o, si supusiera un esfuerzo desproporcionado, hacer una comunicación pública, utilizando un medio que tengamos la certeza de que alcanzará todos ellos.
Si somos encargados del tratamiento, delegados de protección de datos u otro tipo de asesor en protección de datos, deberemos indicar al responsable que debe notificar la brecha de seguridad.
¿Es obligatorio usar Asesora Brecha?
No es obligatorio usar Asesora Brecha, aunque sí es muy recomendable hacerlo, si tenemos dudas respecto a notificar o no una brecha de seguridad que hayamos sufrido y haya podido afectar a los datos personales que manejamos. De esa forma estaremos seguros de si debemos o no proceder con la notificación a la AEPD y los interesados.
Porque lo que sí que es obligatorio es notificar a la AEPD y los interesados de las brechas de datos personales que pueda sufrir la empresa u organización, cuando dicho incidente puede suponer un riesgo para los derechos y libertades de los interesados. No hacerlo puede suponer una infracción y su consecuente sanción.