Libro registro de incidencias en el tratamiento de datos personales

Este documento permite registrar una incidencia en el Libro Registro de Incidencias a una persona u organización responsable de los datos personales que trate. Este Libro Registro de Incidencias se elabora como anexo al Registro de Actividad de Tratamiento (RAT).

El Registro de Actividad de Tratamiento (RAT) de cualquier persona u organización que trate datos personales debe contener como anexo un Libro Registro de Incidencias en el cual se incluyan todas aquellas incidencias (error o fallo de funcionamiento del sistema de información que pueden ocasionar que terceras personas tengan acceso a la información personal que se encuentra alojada en el sistema) que afectan a datos de carácter personal. En este documento debe constar como mínimo la siguiente información: el tipo de incidencia, el momento en que se ha producido, la persona que ha realizado la notificación, los efectos derivados de la incidencia y las medidas correctoras (entre otras cosas). De esta manera, la persona u organización que trate datos personales podrá tener un control de las brechas de seguridad más comunes, pudiendo adoptar medidas y protocolos con el objeto de mejorar la seguridad.

El Reglamento General de Protección de Datos (RGPD) define la brecha de seguridad como toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos. Por tanto, teniendo en mente que cada violación de datos personales es un incidente de seguridad, pudiendo dar lugar a una violación de la confidencialidad, integridad o disponibilidad de los datos personales, es obligatorio que todas las personas u organizaciones que traten datos personales cuenten con este Libro Registro de Incidencias. Entre las causas de las violaciones de datos se encuentran la negligencia, el accidente o la falla técnica, y los actos intencionales de actores internos o externos.

Una vez registrado el incidente en el Libro Registro de Incidencias, el responsable del tratamiento de datos personales deberá comunicárselo a la autoridad de control competente (en el caso de España, a la Agencia Española de Protección de Datos) en el plazo máximo de 72 horas, a menos que el incidente no haya supuesto un riesgo a los derechos y libertades de las personas físicas.

¿Cómo utilizar el documento?

El presente documento debe ser utilizado como una página dentro del Libro Registro de Incidencias de la persona u organización que trate datos personales, en el cual se registre un único incidente, concretando el número de incidente (puede ser tanto el primer incidente de la persona u organización que trate datos personales como un incidente más). Este documento contiene los siguientes campos (siguiendo las directrices del Reglamento):

• El tipo de incidencia;
• La fecha de la incidencia o de cuando se ha conocido;
• La persona que ha notificado la incidencia;
• La persona a quien se notifica la incidencia (quien se hace cargo de la incidencia);
• Cómo se ha producido la incidencia;
• Si se ha puesto en riesgo los derechos y libertades de las personas afectadas;
• Si se ha comunicado a las personas afectadas, y en caso negativo, el motivo;
• Los daños potenciales de la incidencia;
• Los datos del informe policial (si los hubiere);
• Las medidas correctoras que se han puesto en marcha.

Como ya se ha mencionado, este documento debe ser rellenado cada vez que la persona u organización que trate datos personales tenga una incidencia que afecte a datos de carácter personal. Algunos ejemplos de violaciones de datos pueden ser: cuando el personal de la organización que trate datos personales envía por correo electrónico información personal erróneamente a destinatarios incorrectos; el uso de canales no autorizados para el intercambio de información personal; cuando el personal almacena información en un dispositivo no autorizado; cuando el personal accede a información personal sin autorización previa o violación de los controles técnicos; robo de datos personales; entre muchos otros.

Pasos a seguir:

Los pasos que debe seguir el responsable del tratamiento (o el Delegado de Protección de Datos en caso de que la entidad tuviera uno) son los siguientes:

1. En primer lugar, deberá rellenar el presente documento e incluirlo en el Libro Registro, recogiendo toda la información posible sobre la brecha de seguridad conocida.

2. El responsable deberá averiguar si la brecha de seguridad ha supuesto un riesgo para los derechos y libertades de los afectados. Esto es muy importante puesto que en caso de que la respuesta sea positiva, se tendrá que notificar el problema de seguridad a la autoridad de control (AEPD) y a los propios afectados. Para saber si el incidente ha supuesto un riesgo se atenderá a los criterios recogidos en el RGPD:

• Que pueda provocar daños y perjuicios físicos, materiales o inmateriales (problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación...etc).
• Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales, ya que los datos personales tratados revelen: el origen étnico o racial, las opiniones políticas, la religión, la militancia en sindicatos, datos relativos a la salud...etc.
• En los casos en los que se evalúen aspectos personales (rendimiento en el trabajo, situación económica, datos de salud...etc).
• En los casos en los que se divulgue información de menores de edad.

3. Como ya se ha explicado anteriormente, en caso de que la brecha de seguridad haya supuesto un riesgo a los derechos y libertades de las personas físicas, el responsable del tratamiento (o el Delegado de Protección de Datos) deberá notificar tanto a la Agencia Española de Protección de Datos como a las personas afectadas en el plazo máximo de 72 horas. El plazo comienza en cuanto se tiene constancia del problema de seguridad.

Por tanto, además de la AEPD, se deberá notificar también a las personas afectadas conforme al principio de rendición de cuentas. No obstante, existen una serie de excepciones en las cuales no será obligatoria la comunicación:

• El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la brecha de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
• Cuando el responsable haya tomado con posterioridad a la brecha de seguridad medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
• Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.

Responsable del tratamiento de datos personales y Delegado de Protección de Datos:

El responsable del tratamiento es la persona física o jurídica o autoridad pública, que decide sobre el tratamiento de los datos personales, determinando los fines y los medios de dicho tratamiento.

El Delegado de Protección de Datos es quien, entre otras funciones, tiene las funciones de supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, de gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales.

Legislación aplicable

El artículo 33, artículo 34, y Considerando 75 del Reglamento General de Protección de Datos (RGPD).

Además, existen otras disposiciones normativas que obligan a notificar brechas de seguridad a la AEPD, como el artículo 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

Ayuda de un abogado

También tienes la opción de consultar a un abogado si necesitas ayuda.

El abogado puede contestar a tus preguntas o ayudarte en tus trámites. Al final de la creación del documento, se te ofrecerá esta opción.

¿Cómo modificar el modelo?

Rellenas un formulario. El documento se va redactando ante tus ojos, en función de tus respuestas.

Al finalizar, lo recibirás en los formatos Word y PDF. Puedes modificarlo y volver a utilizarlo.