Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).
Análisis a las conclusiones del análisis
Para calcular la probabilidad de que un incumplimiento del RGPD llegue a ser conocido, denunciado y sancionado, depende, en gran medida, de que el incumplimiento tenga sus efectos, o pueda ser percibido por fuera del perímetro de la empresa.
Si valoramos el riesgo de que esto suceda en cada una de las obligaciones del RGPD que pueden ser incumplidas por una empresa, podemos elaborar una tabla como la siguiente, en la que se valora, de forma aproximativa, el riesgo de que una infracción pueda tener efectos o ser percibida fuera del perímetro de la empresa:
- Principios relativos al tratamiento – Riesgo alto
- Licitud del tratamiento – Riesgo alto
- Condiciones para el consentimiento – Riesgo alto
- Consentimiento de menores – Riesgo alto
- Categorías especiales de datos – Riesgo medio
- Datos relativos a condenas e infracciones penales – Riesgo medio
- Tratamientos que no requieren identificación – Riesgo bajo
- Ejercicio de derechos del interesado – Riesgo alto
- Información al interesado en la obtención directa – Riesgo alto
- Información al interesado en la obtención indirecta – Riesgo medio
- Derecho de acceso del interesado – Riesgo alto
- Derecho de rectificación – Riesgo alto
- Derecho de supresión – Riesgo alto
- Derecho a la limitación del tratamiento – Riesgo alto
- Notificación de las acciones relativas a los derechos anteriores – Riesgo alto
- Derecho a la portabilidad de los datos – Riesgo alto
- Derecho de oposición – Riesgo alto
- Decisiones individuales automatizadas y elaboración de perfiles – Riesgo medio
- Limitaciones – Riesgo bajo
- Responsabilidad del responsable del tratamiento – Riesgo medio
- Protección de datos desde el el diseño y por defecto – Riesgo medio
- Corresponsables del tratamiento – Riesgo medio
- Representantes en la Unión Europea – Riesgo alto
- Encargado del tratamiento – Riesgo medio
- Tratamiento bajo la autoridad del responsable o del encargado – Riesgo bajo
- Registro de las actividades de tratamiento – Riesgo bajo
- Cooperación con la autoridad nacional – – Riesgo alto
- Seguridad del tratamiento – Riesgo bajo en relación a la disponibilidad y a la integridad y riesgo alto en relación a la confidencialidad
- Notificación de una violación de la seguridad a la autoridad de control – Riesgo alto
- Comunicación de una violación de la seguridad al interesado – Riesgo alto
- Evaluación de impacto – Riesgo bajo
- Consulta previa – Riesgo alto
- Designación del Delegado de Protección de Datos – Riesgo alto
- Posición del Delegado de Protección de Datos – Riesgo bajo
- Funciones del Delegado de Protección de Datos – Riesgo bajo
- Códigos de conducta – Riesgo alto
- Supervisión de los códigos de conducta – Riesgo alto
- Certificación – Riesgo alto
- Principio general de las transferencias a terceros países – Riesgo alto
- Transferencias basadas en una decisión de adecuación – Riesgo alto
- Transferencias mediante garantías adecuadas – Riesgo alto
- Normas corporativas vinculantes – Riesgo alto
- Transferencias no autorizadas por el Derecho de la Unión – Riesgo alto
- Excepciones para situaciones específicas – Riesgo alto
Al realizar este ejercicio nos damos cuenta de que todas las obligaciones en las que el interesado puede, de alguna manera, monitorizar o percibir el nivel de cumplimiento son aquellas en las que una eventual infracción tendría una manifestación o unos efectos fuera de la empresa. En cambio, las infracciones que sólo se manifestan o tienen sus efectos dentro de la empresa, son susceptibles de ser ocultadas o subsanadas, con la excepción de las que sean filtradas o denunciadas por alguien que se halle dentro del círculo de confianza de la empresa o sea expulsado del mismo a causa de un confilcto o de un despido.
En el caso de infracción de una obligación jurídica con riesgo alto de conocimiento por parte del interesado, la empresa no tiene muchas opciones para ocultar, corregir o eliminar los efectos de la infracción, ya que éstos han salido de su ámbito de control. Por ejemplo, si la empresa realiza un envío masivo de publicidad por correo electrónico y sin consentimiento, la prueba de la infracción está en cada uno de los buzones de entrada de los múltiples destinatarios.
En el caso de infracción de una obligación específica en materia de seguridad, como las relacionadas con las violaciones de datos, el Grupo de Trabajo del Artículo 29 ha identificado tres opciones:
- Las violaciones de la integridad.
- Las violaciones de la disponibilidad.
- Las violaciones de la confidencialidad.
En el caso de las dos primeras, la empresa puede actuar de forma rápida y solucionar el problema sin que el interesado llegue a darse cuenta. En el caso de una violación de la confidencialidad, la existencia de la divulgación de los datos puede llegar a conocimiento del interesado o no, ya que puede deberse a un incidente involuntario intrascendente o a un ataque que no ha sido hecho público.
El gran impacto reputacional y la desconfianza en la seguridad de la empresa que puede generar la divulgación de una violación de datos hace que, en la mayoría de los casos, las empresas sólo publiquen datos de las violaciones de datos que ya han sido conocidas por los interesados.
No parece que esta estrategia vaya a cambiar a pesar de la obligación de comunicar las violaciones de datos. Las empresas, especialmente las de aquellos sectores en los que los datos personales sea un activo crítico, intentarán no tener que comunicar la existencia de la violación. Salvo que la brecha de seguridad haya sido dada a conocer por terceros, en la medida de lo posible, y especialmente en los casos de violación de la integridad y de la disponibilidad, estos incidentes seguirán siendo de ámbito interno muy probablemente.
Si a ello unimos las conclusiones del análisis histórico de sanciones, en el que las cuestiones relativas a la seguirdad prácticamente no aparecen, es posible afirmar que existe una mayor probabilidad de que el incumplimiento de una obligación jurídica sea sancionado, frente a la menor probabilidad de sanción del incumplimiento de una obligación de seguridad.
Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas