La llegada del Reglamento General de Protección de Datos supuso la desaparición de un listado específico de medidas de seguridad a adoptar por las entidades en función del riesgo asumido. Sin embargo, en su sección II del Capítulo IV, se recogen varios artículos donde se habla de medidas de seguridad.
En concreto, es en los artículos 33 y 34 donde se regula la notificación y comunicación, respectivamente, de una violación de seguridad tanto a la autoridad (art. 33), como al interesado (art. 34).
Junto a lo anterior, el art. 39.1 RGPD establece un listado donde se establecen las funciones que tiene el Delegado de Protección de Datos (DPD -o DPO por sus siglas en inglés-), entre las que se establecen, como mínimo, las siguientes:
- Informar y asesoraral responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- Ofrecer el asesoramiento que se le soliciteacerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
- Cooperar con la autoridad de control
- Actuar como punto de contactode la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Como se puede extraer de lo anterior, una de las funciones principales que tiene el DPD es prestar el apoyo y ayuda necesaria al responsable ante cualquier duda o problema que pueda surgir en la aplicación del Reglamento.
Por otra parte, el Considerando 85 establece que “tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente”. Es aquí donde el Delegado asume un papel muy importante, ya que durante esas 72 horas debe trabajar junto con el responsable del tratamiento para valorar los “daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión” que puede causar dicha violación.
El DPO es una figura que, como hemos visto antes en sus funciones, coopera con la autoridad de control, por lo que debe ser él quien asesore al responsable sobre la necesidad de la comunicación tanto a la misma como a los afectados. Para ello, debe realizar un análisis sobre los efectos que puede ocasionar la violación de seguridad de los datos, teniendo en cuenta valores como el tipo de datos, la exposición de los mismos y el número de registros afectados.
Asimismo, el Grupo de Trabajo del artículo 29 ha elaborado unas “Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679”, donde se establecen una serie de supuestos de violaciones de la seguridad de los datos personales, se examina la necesidad de notificarse y a quién.
Así, por ejemplo, recoge que si un responsable del tratamiento guardó en una llave USB una copia de seguridad de un archivo de datos personales cifrados y dicha llave desaparece, no será necesaria la notificación ni a la Autoridad de Control ni al interesado, siempre que los datos estén cifrados con un algoritmo de tecnología avanzada.
Otro supuesto es el caso de un controlador que sufra el ataque de un programa de secuestro que provoca el cifrado de todos los datos, no haya copias de seguridad disponibles, los datos no se puedan restaurar y durante la investigación se manifieste que la única funcionalidad del software de rescate era cifrar los datos. En este caso sí será necesaria la notificación tanto a la autoridad de control como al interesado, salvo que se disponga de una copia de seguridad y los datos puedan restaurarse a tiempo.