Diariamente manejamos ingentes cantidades de información. Por este motivo, resulta habitual que, tanto en nuestra vida personal, como en el ámbito empresarial utilicemos multitud de dispositivos para almacenar o transferir datos. Un riesgo que se multiplica en el ámbito empresarial, pues las comunicaciones que una entidad puede llevar a cabo con proveedores y clientes hace que sea probable la pérdida de información confidencial.
Hay que ser conscientes que los avances tecnológicos no sólo implican mejoras de eficiencia, comodidad y productividad, sino que también nos exponen ante multitud de amenazas, ya sean ataques informáticos, estafas cibernéticas, fallos de hardware y software, etc. Es por esta razón, que se hace imprescindible extremar las medidas de seguridad, tanto en lo que respecta a copias de seguridad y barreas informáticas, como en lo que atañe a códigos de conducta y protocolos.
HECHOS
En el presente caso, se produce la pérdida de una memoria flash que contenía diversos datos personales (1.733 personas afectadas; nombre y apellidos, fecha de nacimiento e identificación, puesto de trabajo…etc). El controlador de datos, que trató de localizar en un primer momento el pendrive perdido, no notifica el incidente dentro de las 72 horas que el Reglamento General de Protección de Datos «RGPD» otorga como plazo máximo.
INFRACCIÓN COMETIDA Y SANCIÓN
La Autoridad de Supervisión húngara, una vez analizados los hechos concluyó que se había vulnerado el artículo 33 del RGPD, pues no se reportó la brecha de seguridad en en la forma y tiempo legalmente establecidos. Con esta conducta, reitera en varias ocasiones la Autoridad de Supervisión, se puso en grave riesgo la privacidad de los titulares de los datos contenidos en la unidad perdida. Así, se decidió interponer una sanción de 15.000€ al controlador de datos responsable de la infracción.
- Antecedente importante. Aplicabilidad europea.
Uno de los principios del RGPD es la colaboración entre las Autoridades de Control de la Unión Europea («UE»). Por este motivo, estas resoluciones tienen una gran repercusión, en cuanto se ponderan circunstancias que crean precedentes aplicables en toda la UE.
******************************************
Artículo 33 RGPD: «1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.»
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].