Diariamente son registrados fallos, brechas o violaciones de seguridad respecto a los datos personales en las empresas de nuestro país. Pero el lector habrá notado que hablamos de las que son registradas. ¿Conocemos el número real de estos fallos en la seguridad de los datos personales? ¿Cuantas brechas se dejan sin registrar? Y lo más importante respecto de las que no se registran, ¿son las empresas conscientes de las violaciones de seguridad que tienen y/o sufren?

Medidas insuficientes u otras causas

Largo y arduo ha sido el camino desde que entrara en vigor el Reglamento Europeo 2016/279, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de éstos, comúnmente conocido como RGPD o GDPR por sus siglas en inglés (en adelante, RGPD).

Esta normativa podemos catalogarla como restrictiva y proteccionista. Restrictiva en cuanto a la forma en que las empresas puede recopilar y tratar la información de carácter personales de sus clientes y usuarios o potenciales clientes. Proteccionista porque ofrece derechos y garantías ampliadas a todos consumidores y clientes de dichas empresas, servicios en internet como redes sociales y otras plataformas, etc. En definitiva, deberíamos hablar de una normativa completa y buena para el usuario, pero como ocurre con toda Ley, la interpretación es infinita por parte de departamentos jurídicos de empresas privadas, juristas independientes y las propias autoridades, si bien estos últimos son quienes deciden (salvo con circulares informativas/ aclaratorias).

La realidad de las brechas

Decir que las brechas de seguridad o fallos se producen porque el RGPD es insuficiente o, como ocurre realmente, que caben muchas interpretaciones y las empresas fallan en el establecimiento a de medidas de seguridad, sinceramente no tiene sentido. Es cierto que muchos han interpretado el Reglamento a su manera y realizan los respectivos tratamientos de información de carácter personal a su modo de ver, pero debemos valorar las medidas de seguridad técnicas y organizativas que garantizan un tratamiento de datos adecuado y pertinente.

El RGPD obliga a tomar estas medidas y no cabe interpretación. Por lo tanto, hablar de las casi 700 violaciones de seguridad notificadas a la autoridad de control en casi 10 meses, o lo que es lo mismo, unos 300 días (en España dicha autoridad es la Agencia Española de Protección de Datos, o AEPD). Es decir, hablamos de más de 2 notificaciones diarias por una brecha de seguridad respecto al tratamiento de nuestros datos personales que hacen las empresas.

La interpretación del RGPD

El problema aparece con la regulación específica que hace el RGPD en sus artículos 33 y 34 respecto a la obligación de notificar, en nuestro caso, a la AEPD las violaciones de seguridad que impliquen o puedan producir violaciones de derechos fundamentales de los usuarios afectados o supongan un perjuicio para los mismos. Todo ello en un plazo máximo de 72 horas.

Recalquemos lo siguiente: en la normativa europea no se hace mención alguna a la obligación de notificar todas y cada una de las brechas de seguridad, solo las que perjudiquen los derechos de los usuarios. Aquí está la interpretación puesto que es la empresa quien decide si un fallo en la seguridad es necesario notificarlo, pues a su juicio, la pérdida de un dato de carácter personal puede no tener ninguna consecuencia.

Las comunicaciones de los fallos en la seguridad

Imaginemos por un momento que esas casi 700 notificaciones de brechas en la seguridad de las empresas, son de verdad reales, es decir, que hay peligro real de una fuga de datos de carácter personal. Hablamos de 2-3 notificaciones diarias a la AEPD por parte de quien garantiza que nuestros datos son tratados de la forma más segura posible. Garantía, evidentemente, que nos dan las empresas. Pero tampoco podemos achacar todo a las entidades empresariales, pues son el objetivo de los black hackers y, en la mayoría de casos, poco pueden hacer para frenarlos.

Sin embargo, una cuestión a tener en cuenta: ¿cuantas brechas de seguridad no han sido notificadas? O lo que es peor, ¿conocen las empresas que realmente han sufrido una pérdida o robo de dato?

Es complicado llegar a una conclusión. Las notificaciones que se realizan pueden no suponer ningún riesgo para la información personal de usuarios y consumidores, simplemente se notifican a la más mínima sospecha. O puede que muchos de estos fallos no se notifican, precisamente, por miedo a la elevadas sanciones que contempla el RGPD.

En ambos casos, cumpliendo con el Reglamento Europeo, implementando las medidas técnicas y organizativas que garanticen un tratamiento de datos adecuados y seguro, no deberíamos tener problemas, pues es imposible evitar que alguien quiera atacar la información de que disponemos en nuestra empresa, pero si es obligatorio notificar los ataques que supongan riesgo para los derechos fundamentales y libertades públicas de los interesados: nuestros clientes, usuarios, proveedores, potenciales clientes y, en definitiva, de toda persona física o jurídica sobre las que tengamos i