Del registro de incidencias en la LOPD a las notificaciones de violaciones de seguridad en el RGPD

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Del registro de incidencias en la LOPD a las notificaciones de violaciones de seguridad en el RGPD

Del registro de incidencias en la LOPD a las notificaciones de violaciones de seguridad en el RGPD

8 noviembre, 2018 | GDPR Legal

En el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RDLOPD) se recogía la obligación de llevar un registro de incidencias interno, a diferencia de las obligaciones que introduce el RGPD, que además de disponer de un registro interno, establece la necesidad de analizar  si  la misma constituye un riesgo para los derechos y libertades de las personas físicas para en su caso, notificarla a la Autoridad de Control y/o a los interesados.

Lo que ocurre es que el contenido que debe incluir dicha notificación que debe hacerse a la Agencia Española de Protección de Datos, es muy similar a lo que incluía el contenido del registro de incidencias del RDLOPD. Esto, unido a que actualmente se debe documentar lo relacionado con las violaciones de seguridad, hace que en la práctica deba existir un registro de dichas incidencias/violaciones/brechas, a disposición de la autoridad de control.

A continuación resumimos  las diferencias del contenido  del registro de incidencias LOPD y el contenido de la notificación a la Agencia de las violaciones de seguridad del actual RGPD

1.- Descripción de la incidencia

El RDLOPD  mencionaba que se debe establecer un registro en el que se haga constar el tipo de incidencia y el momento en el que se ha producido y detectado. No entraba en detalle del contenido de la incidencia, pero se entendía que era una explicación de la misma.

Con el RGPD se debe describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

2.- Datos de personas que participan en el registro

Con la LOPD se tenía que registrar la persona que realizaba la notificación y la persona a la que se le comunicaba dentro de la Organización (normalmente era el Responsable de Seguridad).

Con el RGPD se debe comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

3.- Consecuencias derivadas

Con la LOPD se debían registrar los efectos derivados de la incidencia.

Con el RGPD, en términos distintos pero el mismo trasfondo, deben comunicarse las “posibles consecuencias de la violación de seguridad”.

4.- Actuaciones posteriores

Con la LOPD se debían registrar las medidas correctoras y para datos de nivel medio, se debían indicar también, en su caso, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación

Con el RGPD se debe informar a la Agencia de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

De todo lo mencionado, se deduce que en el contenido del antiguo registro de incidencias y el contenido que debe incluirse en la notificación a la Agencia actualmente, hay diferencias terminológicas y muy puntuales, pero en la práctica se sigue registrando lo mismo.

Por otro lado, hay que destacar que el registro de incidencias de la LOPD, era un registro interno (a disposición de la autoridad de control, pero interno), las notificaciones de violaciones de seguridad implican “una salida” de esa información; de la organización a la Autoridad de Control o a los interesados, según el caso.

Un tercer punto diferenciador es que en la LOPD el registro de incidencias (como el resto de obligaciones) recaía sobre los Responsables de Ficheros.

Con el RGPD, la obligación de notificación de violaciones de seguridad afecta, tanto a Responsables como a Encargados.

Finalmente, la LOPD no establecía un plazo para el registro de incidencias, mientras que para la notificación de la existencia de una violación de seguridad a la autoridad de control se establece actualmente un plazo de 72 horas (con sus excepciones) desde que se tuvo constancia de la violación de seguridad.

 

Tags: