El artículo 32 del Reglamento General de Protección de Datos (“RGPD”) establece la obligación del responsable y encargado del tratamiento de adoptar las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto, los fines del tratamiento y la probabilidad y gravedad para los derechos y libertades de las personas físicas.
El mencionado artículo enumera un conjunto no exhaustivo de medidas de seguridad. Del conjunto de tales medidas, se desprende la necesidad de evaluar el impacto de un incidente sobre los datos personales, independientemente de si estamos ante tratamientos automatizados o no, o si los incidentes son accidentales o intencionales.
Además, el responsable y encargado del tratamiento deberán gestionar los posibles errores, debilidades, vulnerabilidades o ataques que se pudieran derivar de las distintas medidas técnicas y organizativas. En caso de que alguna de las medidas de seguridad implantadas falle, o se detecte una incidencia de seguridad que afecte a datos personales, el responsable y el encargado deberán cumplir con las obligaciones contenidas en los artículos 33 y 34 del RGPD.
El conocimiento de las obligaciones que surgen tras sufrir una incidencia de seguridad que afecte a datos personales resulta esencial puesto que, tal y como se recoge en el último Informe de notificaciones de brechas de seguridad durante mayo de 2022 de la Agencia Española de Protección de Datos (“AEPD”), el total de brechas de seguridad notificadas a la AEPD durante los últimos 12 meses ha sido de 1533 casos (sin contar aquellas brechas de seguridad en las que el responsable ha considerado que la brecha no suponía un alto riesgo y no era necesario notificar a la AEPD).
De acuerdo con lo anterior, hemos preparado un documento de peguntas frecuentes (“FAQs”) que pueden surgir en relación con esta materia. Puede descargar nuestras FAQs sobre Brechas de Seguridad pulsando aquí.