En el ámbito de la protección de datos, no todo problema técnico es una brecha de seguridad de datos personales. Sin embargo, confundir ambos conceptos o utilizarlos de forma interesada puede tener consecuencias jurídicas relevantes. Los recientes casos de Endesa y del Ayuntamiento de Gandía ilustran con claridad esta diferencia.
Incidencia de seguridad: el plano técnico
Una incidencia de seguridad es un problema técnico (intentos de acceso, fallos de sistema, ataques contenidos) que no afecta necesariamente a datos personales y, por tanto, no obliga a notificar a la AEPD ni a los afectados.
Brecha de seguridad de datos personales: el plano jurídico
Existe brecha de seguridad de datos personales cuando se produce un acceso, pérdida, alteración o comunicación no autorizada de datos personales, con independencia de que el origen sea un hackeo, un error humano o un fallo interno (art. 4.12 RGPD).
Caso Endesa: un ejemplo de calificación correcta
Endesa comunicó directamente a sus clientes la existencia de una brecha de seguridad. Esta actuación implica reconocer que han podido verse afectados datos personales y que existe un riesgo para los derechos y libertades de los interesados, activando así los artículos 33 y 34 del RGPD.
Desde la óptica normativa, se trata de una brecha de seguridad correctamente identificada y gestionada, con transparencia hacia los afectados.
Caso Gandía Xecs Consum: El debate no es político ni técnico, sino jurídico y verificable
Jurídicamente, la cuestión es sencilla: esos datos son datos personales plenamente identificativos. Si dicho listado ha salido del entorno de control del Ayuntamiento y ha sido accesible por terceros sin base legal, concurren los elementos objetivos de una brecha de seguridad, con independencia de la causa o la intencionalidad.
¿Por qué es tan importante distinguirlos?
Porque las obligaciones cambian radicalmente. Ante una incidencia sin datos personales, basta con registro interno, análisis técnico y medidas correctoras. Ante una brecha de datos personales, el RGPD exige evaluación de riesgos, notificación a la AEPD en 72 horas, comunicación a los afectados si el riesgo es alto y un registro obligatorio del suceso.
No toda incidencia de seguridad es una brecha de datos personales, pero toda brecha exige actuaciones legales concretas. Una calificación incorrecta no elimina las obligaciones del responsable del tratamiento.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.