Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Análisis a las conclusiones del análisis

Para calcular la probabilidad de que un incumplimiento del RGPD llegue a ser conocido, denunciado y sancionado, depende, en gran medida, de que el incumplimiento tenga sus efectos, o pueda ser percibido por fuera del perímetro de la empresa.

Si valoramos el riesgo de que esto suceda en cada una de las obligaciones del RGPD que pueden ser incumplidas por una empresa, podemos elaborar una tabla como la siguiente, en la que se valora, de forma aproximativa, el riesgo de que una infracción pueda tener efectos o ser percibida fuera del perímetro de la empresa:

1. Principios relativos al tratamiento – Riesgo alto
2. Licitud del tratamiento – Riesgo alto
3. Condiciones para el consentimiento – Riesgo alto
4. Consentimiento de menores – Riesgo alto
5. Categorías especiales de datos – Riesgo medio
6. Datos relativos a condenas e infracciones penales – Riesgo medio
7. Tratamientos que no requieren identificación – Riesgo bajo
8. Ejercicio de derechos del interesado – Riesgo alto
9. Información al interesado en la obtención directa – Riesgo alto
10. Información al interesado en la obtención indirecta – Riesgo medio
11. Derecho de acceso del interesado – Riesgo alto
12. Derecho de rectificación – Riesgo alto
13. Derecho de supresión – Riesgo alto
14. Derecho a la limitación del tratamiento – Riesgo alto
15. Notificación de las acciones relativas a los derechos anteriores – Riesgo alto
16. Derecho a la portabilidad de los datos – Riesgo alto
17. Derecho de oposición – Riesgo alto
18. Decisiones individuales automatizadas y elaboración de perfiles – Riesgo medio
19. Limitaciones  – Riesgo bajo
20. Responsabilidad del responsable del tratamiento – Riesgo medio
21. Protección de datos desde el el diseño y por defecto – Riesgo medio
22. Corresponsables del tratamiento  – Riesgo medio
23. Representantes en la Unión Europea  – Riesgo alto
24. Encargado del tratamiento – Riesgo medio
25. Tratamiento bajo la autoridad del responsable o del encargado – Riesgo bajo
26. Registro de las actividades de tratamiento  – Riesgo bajo
27. Cooperación con la autoridad nacional –  – Riesgo alto
28. Seguridad del tratamiento  – Riesgo bajo en relación a la disponibilidad y a la integridad y riesgo alto en relación a la confidencialidad
29. Notificación de una violación de la seguridad a la autoridad de control – Riesgo alto
30. Comunicación de una violación de la seguridad al interesado – Riesgo alto
31. Evaluación de impacto – Riesgo bajo
32. Consulta previa – Riesgo alto
33. Designación del Delegado de Protección de Datos – Riesgo alto
34. Posición del Delegado de Protección de Datos – Riesgo bajo
35. Funciones del Delegado de Protección de Datos – Riesgo bajo
36. Códigos de conducta – Riesgo alto
37. Supervisión de los códigos de conducta – Riesgo alto
38. Certificación – Riesgo alto
39. Principio general de las transferencias a terceros países – Riesgo alto
40. Transferencias basadas en una decisión de adecuación – Riesgo alto
41. Transferencias mediante garantías adecuadas – Riesgo alto
42. Normas corporativas vinculantes – Riesgo alto
43. Transferencias no autorizadas por el Derecho de la Unión – Riesgo alto
44. Excepciones para situaciones específicas – Riesgo alto

Al realizar este ejercicio nos damos cuenta de que todas las obligaciones en las que el interesado puede, de alguna manera, monitorizar o percibir el nivel de cumplimiento son aquellas en las que una eventual infracción tendría una manifestación o unos efectos fuera de la empresa. En cambio, las infracciones que sólo se manifestan o tienen sus efectos dentro de la empresa, son susceptibles de ser ocultadas o subsanadas, con la excepción de las que sean filtradas o denunciadas por alguien que se halle dentro del círculo de confianza de la empresa o sea expulsado del mismo a causa de un confilcto o de un despido.

En el caso de infracción de una obligación jurídica con riesgo alto de conocimiento por parte del interesado, la empresa no tiene muchas opciones para ocultar, corregir o eliminar los efectos de la infracción, ya que éstos han salido de su ámbito de control. Por ejemplo, si la empresa realiza un envío masivo de publicidad por correo electrónico y sin consentimiento, la prueba de la infracción está en cada uno de los buzones de entrada de los múltiples destinatarios.

En el caso de infracción de una obligación específica en materia de seguridad, como las relacionadas con las violaciones de datos, el Grupo de Trabajo del Artículo 29 ha identificado tres opciones:

• Las violaciones de la integridad.
• Las violaciones de la disponibilidad.
• Las violaciones de la confidencialidad.

En el caso de las dos primeras, la empresa puede actuar de forma rápida y solucionar el problema sin que el interesado llegue a darse cuenta. En el caso de una violación de la confidencialidad, la existencia de la divulgación de los datos puede llegar a conocimiento del interesado o no, ya que puede deberse a un incidente involuntario intrascendente o a un ataque que no ha sido hecho público.

El gran impacto reputacional y la desconfianza en la seguridad de la empresa que puede generar la divulgación de una violación de datos hace que, en la mayoría de los casos, las empresas sólo publiquen datos de las violaciones de datos que ya han sido conocidas por los interesados.

No parece que esta estrategia vaya a cambiar a pesar de la obligación de comunicar las violaciones de datos. Las empresas, especialmente las de aquellos sectores en los que los datos personales sea un activo crítico, intentarán no tener que comunicar la existencia de la violación. Salvo que la brecha de seguridad haya sido dada a conocer por terceros, en la medida de lo posible, y especialmente en los casos de violación de la integridad y de la disponibilidad, estos incidentes seguirán siendo de ámbito interno muy probablemente.

Si a ello unimos las conclusiones del análisis histórico de sanciones, en el que las cuestiones relativas a la seguirdad prácticamente no aparecen, es posible afirmar que existe una mayor probabilidad de que el incumplimiento de una obligación jurídica sea sancionado, frente a la menor probabilidad de sanción del incumplimiento de una obligación de seguridad.

Acceso a las conclusiones del análisis