Finalidad de la comunicación de una brecha/violación de seguridad: ¿Sanciona o no la Autoridad de Control?

Miniatura noticia

Como muchos sabrán, la propuesta de Reglamento de Protección de Datos de la Unión Europea, en sus artículos 31 y 31 regula la comunicación de las brechas o violaciones de seguridad que se produzcan (como pueden ser la pérdida de datos, el borrado de los mismos, o un acceso no autorizado).

Esta comunicación debe realizarse en una doble dirección:

–          A la Autoridad de Control, de manera inmediata y no superior a 24 horas, salvo que esté justificado realizar la comunicación fuera de ese plazo (deberá motivarlo).

–          A los afectados, cuando la violación/brecha los afecte negativamente.

Asimismo, según el mismo texto (artículo 79.6), en caso de incumplimiento de esta obligación de notificar la autoridad de control podrá imponer una multa de hasta 1 000 000 EUR o, si se trata de una empresa, de hasta el 2 % de su volumen de negocios anual a nivel mundial, a todo aquel que, de forma deliberada o por negligencia.

La pregunta del “Atrapa un millón” es ¿Con que finalidad se comunica? El texto no dice nada al respecto. Comunicado, ¿la Autoridad de Control correspondiente te abre un sancionador?

Esta sanción, además, sería de la misma cuantía que el supuesto de la brecha de seguridad.

Incluso, podríamos encontrarnos con dos sanciones: una por no notificar y otra por no cumplir las medidas de seguridad (no operaría en este caso el “non bis in idem”).

Lo normal es que la sanción económica por no notificar fuese inferior a la de no adoptar las adecuadas medidas de seguridad.

En este sentido, si hacemos una comparativa “ficticia” con la LOPD, la primera de las infracciones caería bajo la tipificación del 44.2.a) “No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo” o sea, una leve; mientras la relativa a no adoptar las medidas de seguridad, sería grave (44.3.h).

Recordemos que en este tipo de “incidentes”, en el caso de publicación en prensa del mismo –ocurre en muchas ocasiones-, el desprestigio puede ser superior a la multa económica a imponer. Véase al respecto el “Caso INTECO”.

Gracias a @LuisSalvadorMon y @Leoplus por sus conversaciones sobre este tema.

 

 Imagen: Ernst Vikne


Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*