Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Análisis a las conclusiones del análisis

Para calcular la probabilidad de que un incumplimiento del RGPD llegue a ser conocido, denunciado y sancionado, depende, en gran medida, de que el incumplimiento tenga sus efectos, o pueda ser percibido por fuera del perímetro de la empresa.

Si valoramos el riesgo de que esto suceda en cada una de las obligaciones del RGPD que pueden ser incumplidas por una empresa, podemos elaborar una tabla como la siguiente, en la que se valora, de forma aproximativa, el riesgo de que una infracción pueda tener efectos o ser percibida fuera del perímetro de la empresa:

  1. Principios relativos al tratamiento – Riesgo alto
  2. Licitud del tratamiento – Riesgo alto
  3. Condiciones para el consentimiento – Riesgo alto
  4. Consentimiento de menores – Riesgo alto
  5. Categorías especiales de datos – Riesgo medio
  6. Datos relativos a condenas e infracciones penales – Riesgo medio
  7. Tratamientos que no requieren identificación – Riesgo bajo
  8. Ejercicio de derechos del interesado – Riesgo alto
  9. Información al interesado en la obtención directa – Riesgo alto
  10. Información al interesado en la obtención indirecta – Riesgo medio
  11. Derecho de acceso del interesado – Riesgo alto
  12. Derecho de rectificación – Riesgo alto
  13. Derecho de supresión – Riesgo alto
  14. Derecho a la limitación del tratamiento – Riesgo alto
  15. Notificación de las acciones relativas a los derechos anteriores – Riesgo alto
  16. Derecho a la portabilidad de los datos – Riesgo alto
  17. Derecho de oposición – Riesgo alto
  18. Decisiones individuales automatizadas y elaboración de perfiles – Riesgo medio
  19. Limitaciones  – Riesgo bajo
  20. Responsabilidad del responsable del tratamiento – Riesgo medio
  21. Protección de datos desde el el diseño y por defecto – Riesgo medio
  22. Corresponsables del tratamiento  – Riesgo medio
  23. Representantes en la Unión Europea  – Riesgo alto
  24. Encargado del tratamiento – Riesgo medio
  25. Tratamiento bajo la autoridad del responsable o del encargado – Riesgo bajo
  26. Registro de las actividades de tratamiento  – Riesgo bajo
  27. Cooperación con la autoridad nacional –  – Riesgo alto
  28. Seguridad del tratamiento  – Riesgo bajo en relación a la disponibilidad y a la integridad y riesgo alto en relación a la confidencialidad
  29. Notificación de una violación de la seguridad a la autoridad de control – Riesgo alto
  30. Comunicación de una violación de la seguridad al interesado – Riesgo alto
  31. Evaluación de impacto – Riesgo bajo
  32. Consulta previa – Riesgo alto
  33. Designación del Delegado de Protección de Datos – Riesgo alto
  34. Posición del Delegado de Protección de Datos – Riesgo bajo
  35. Funciones del Delegado de Protección de Datos – Riesgo bajo
  36. Códigos de conducta – Riesgo alto
  37. Supervisión de los códigos de conducta – Riesgo alto
  38. Certificación – Riesgo alto
  39. Principio general de las transferencias a terceros países – Riesgo alto
  40. Transferencias basadas en una decisión de adecuación – Riesgo alto
  41. Transferencias mediante garantías adecuadas – Riesgo alto
  42. Normas corporativas vinculantes – Riesgo alto
  43. Transferencias no autorizadas por el Derecho de la Unión – Riesgo alto
  44. Excepciones para situaciones específicas – Riesgo alto

Al realizar este ejercicio nos damos cuenta de que todas las obligaciones en las que el interesado puede, de alguna manera, monitorizar o percibir el nivel de cumplimiento son aquellas en las que una eventual infracción tendría una manifestación o unos efectos fuera de la empresa. En cambio, las infracciones que sólo se manifestan o tienen sus efectos dentro de la empresa, son susceptibles de ser ocultadas o subsanadas, con la excepción de las que sean filtradas o denunciadas por alguien que se halle dentro del círculo de confianza de la empresa o sea expulsado del mismo a causa de un confilcto o de un despido.

En el caso de infracción de una obligación jurídica con riesgo alto de conocimiento por parte del interesado, la empresa no tiene muchas opciones para ocultar, corregir o eliminar los efectos de la infracción, ya que éstos han salido de su ámbito de control. Por ejemplo, si la empresa realiza un envío masivo de publicidad por correo electrónico y sin consentimiento, la prueba de la infracción está en cada uno de los buzones de entrada de los múltiples destinatarios.

En el caso de infracción de una obligación específica en materia de seguridad, como las relacionadas con las violaciones de datos, el Grupo de Trabajo del Artículo 29 ha identificado tres opciones:

  • Las violaciones de la integridad.
  • Las violaciones de la disponibilidad.
  • Las violaciones de la confidencialidad.

En el caso de las dos primeras, la empresa puede actuar de forma rápida y solucionar el problema sin que el interesado llegue a darse cuenta. En el caso de una violación de la confidencialidad, la existencia de la divulgación de los datos puede llegar a conocimiento del interesado o no, ya que puede deberse a un incidente involuntario intrascendente o a un ataque que no ha sido hecho público.

El gran impacto reputacional y la desconfianza en la seguridad de la empresa que puede generar la divulgación de una violación de datos hace que, en la mayoría de los casos, las empresas sólo publiquen datos de las violaciones de datos que ya han sido conocidas por los interesados.

No parece que esta estrategia vaya a cambiar a pesar de la obligación de comunicar las violaciones de datos. Las empresas, especialmente las de aquellos sectores en los que los datos personales sea un activo crítico, intentarán no tener que comunicar la existencia de la violación. Salvo que la brecha de seguridad haya sido dada a conocer por terceros, en la medida de lo posible, y especialmente en los casos de violación de la integridad y de la disponibilidad, estos incidentes seguirán siendo de ámbito interno muy probablemente.

Si a ello unimos las conclusiones del análisis histórico de sanciones, en el que las cuestiones relativas a la seguirdad prácticamente no aparecen, es posible afirmar que existe una mayor probabilidad de que el incumplimiento de una obligación jurídica sea sancionado, frente a la menor probabilidad de sanción del incumplimiento de una obligación de seguridad.

Acceso a las conclusiones del análisis

1 comentario en “Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada

  1. Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas

Los comentarios están cerrados.