Finalidad de la comunicación de una brecha/violación de seguridad: ¿Sanciona o no la Autoridad de Control?
Como muchos sabrán, la propuesta de Reglamento de Protección de Datos de la Unión Europea, en sus artículos 31 y 31 regula la comunicación de las brechas o violaciones de seguridad que se produzcan (como pueden ser la pérdida de datos, el borrado de los mismos, o un acceso no autorizado).
Esta comunicación debe realizarse en una doble dirección:
– A la Autoridad de Control, de manera inmediata y no superior a 24 horas, salvo que esté justificado realizar la comunicación fuera de ese plazo (deberá motivarlo).
– A los afectados, cuando la violación/brecha los afecte negativamente.
Asimismo, según el mismo texto (artículo 79.6), en caso de incumplimiento de esta obligación de notificar la autoridad de control podrá imponer una multa de hasta 1 000 000 EUR o, si se trata de una empresa, de hasta el 2 % de su volumen de negocios anual a nivel mundial, a todo aquel que, de forma deliberada o por negligencia.
La pregunta del “Atrapa un millón” es ¿Con que finalidad se comunica? El texto no dice nada al respecto. Comunicado, ¿la Autoridad de Control correspondiente te abre un sancionador?
Esta sanción, además, sería de la misma cuantía que el supuesto de la brecha de seguridad.
Incluso, podríamos encontrarnos con dos sanciones: una por no notificar y otra por no cumplir las medidas de seguridad (no operaría en este caso el “non bis in idem”).
Lo normal es que la sanción económica por no notificar fuese inferior a la de no adoptar las adecuadas medidas de seguridad.
En este sentido, si hacemos una comparativa “ficticia” con la LOPD, la primera de las infracciones caería bajo la tipificación del 44.2.a) “No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo” o sea, una leve; mientras la relativa a no adoptar las medidas de seguridad, sería grave (44.3.h).
Recordemos que en este tipo de “incidentes”, en el caso de publicación en prensa del mismo –ocurre en muchas ocasiones-, el desprestigio puede ser superior a la multa económica a imponer. Véase al respecto el “Caso INTECO”.
Gracias a @LuisSalvadorMon y @Leoplus por sus conversaciones sobre este tema.
Imagen: Ernst Vikne