Los primeros protegidos por el Reglamento General de Protección de Datos
30 de septiembre de 2018
Los primeros protegidos por el Reglamento General de Protección de Datos
Las violaciones de seguridad, como la que anunció la compañía aérea British Airways el pasado 6 de septiembre, deben de ser comunicadas en un plazo muy corto
La compañía aérea British Airways anunció el pasado jueves 6 de septiembre el robo de datos personales que podría afectar aproximadamente a 380.000 tarjetas de crédito. Según declaró la compañía entre el 21 de agosto y el 5 de septiembre, los datos personales y financieros de los clientes que hubieran hecho reservas en si sitio web o mediante la aplicación móvil, podrían haber comprometidos, precisando que el fallo había sido reparado, que lo había comunicado a las autoridades y que contactaría con los clientes afectados.
Estas circunstancias han provocado que se active el protocolo de quiebra de seguridad exigido por el nuevo Reglamento General de Protección de Datos (RGPD).
Si dicha quiebra de seguridad se hubiera producido antes de la aplicación del RGPD, según la Ley Orgánica de Protección de Datos (LOPD), no hubiera resultado obligatorio comunicar a la Agencia Española de Protección de Datos dicha quiebra ya que la LOPD solo contemplaba la obligación de notificar las violaciones de seguridad a los operadores de servicios de comunicaciones electrónicas. Sin embargo, una de las principales novedades del nuevo Reglamento, ya en plena aplicación, es que dichas violaciones de seguridad deben de ser comunicadas en plazo muy cortos, regulándose además una serie de estrictos requisitos que deben reflejarse en el procedimiento de quiebra de seguridad que debe tener toda empresa que trate datos personales.
Todo protocolo de quiebra de seguridad exige que se comunique la violación de seguridad a la Autoridad de Control sin dilación indebida y a más tardar en el plazo de 72 horas desde que el responsable haya tenido conocimiento de ella. Sin embargo, no todas las violaciones de seguridad deben ser comunicadas a la Autoridad de Control ya que no sería necesaria comunicación alguna en el caso de que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Parece claro que en el caso de British Airways la violación de seguridad sí debió comunicarse, tal y como han declarado los responsables de la compañía.
El RGPD, además, es especialmente riguroso con la información que se debe de facilitar a la autoridad de control debiendo describir la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, la identidad del Delegado de Protección de datos, las consecuencias que puede tener la violación y las medidas que se han puesto para remediar la violación.
Por otra parte, ya es algo que puede preocupar más a cualquier empresa, será obligatorio comunicar la violación de seguridad al propio interesado cuan ésta entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Es obvio que en este caso se ha producido un alto riesgo para los derechos y libertades de las personas físicas afectadas, por lo que resulta necesario realizar tal comunicación. Por la información facilitada por British Airways, se han cumplido con las exigencias establecidas por el protocolo de quiebra de seguridad exigido por el RGPD, al comunicar la quiebra a las Autoridades de Control, al haber resuelto solventado la violación y al haber realizado la comunicación a los afectados.
El cumplimiento de las obligaciones establecidas por el RGPD es necesario para todas las compañías que traten datos personales, al exponerse a sanciones que pueden ser elevadísimas dependiendo de la infracción que se haya producido. Y es que desde el 25 de mayo se ha producido un aumento en el número de denuncias presentadas en la Agencia Española de Protección de Datos de más de un 30% respecto al mismo periodo de tiempo del año anterior, por lo que cualquier compañía de debe tomarse muy en serio el cumplimiento del RGPD.