AD 114/2021
Resumen: Este artículo pretende desmitificar la desconfianza que hay en los responsables del tratamiento por las sanciones económicas que la AEPD puede imponer al comunicar una brecha de seguridad y la AEPD entienda que se debe aperturar una investigación y procedimiento, ya que de los datos que arrojamos en el presente artículo se puede afirmar que de las 3578 brechas de seguridad comunicadas desde 2018 hasta ahora, tan sólo se ha procedido a sancionar económicamente a dos responsables del tratamiento.
Summary: This article aims to demystify the mistrust that there is in data controllers about the economic sanctions that the AEPD can impose when communicating a security breach and the AEPD understands that an investigation and procedure must be opened, since from the data that we throw in this article it can be stated that of the 3578 security breaches communicated from 2018 until now, only two data controllers have been financially sanctioned.
Palabras clave: Brecha – AEPD – DPO – DPD – privacidad – GDPR – RGPD – auditoria – SGID – incidencia – notificación – confidencialidad – integridad- disponibilidad – proactividad – accountability
Key Words: DataBreach – audit – DPO – AEPD – privacy – GDPR – RGPD – SGID – incidence – notification – confidentiality – integrity – availability- proactivity- accountability
Como ya viene siendo un habitual, traigo este mes caluroso y con un pie en las esperadas vacaciones, o por lo menos en la paralización de los juzgados que no es poco, el artículo de este mes que ya viene siendo un habitual, es decir, el análisis de las brechas de seguridad en el que quiero además añadir el balance de los expedientes archivados y los que han acabado en procedimiento sancionador, para ver si de esta forma se puede eliminar de la ecuación la comunicación de la brecha como un riesgo añadido, ya que si nos paramos a visualizar las estadísticas que se desprenden, el riesgo de que se abra procedimiento sancionador es mínimo frente al accountability de cumplir con la obligación de comunicar la brecha en tiempo y forma, por lo que no puede ser una excusa no cumplir con la obligación impuesta por el art. 33 RGPD.
Por lo tanto, lo primero que debemos tener en cuenta es si nos encontramos ante una brecha de seguridad, es decir, si la incidencia afecta a cualquier de las tres esferas, ya sea de forma independiente o conjunta: confidencialidad, integridad y/o disponibilidad en la que se vean afectados datos de carácter personal y, por tanto quedando fuera de lo se considera brecha de seguridad (RGPD) los datos anonimizados, que pudieren ser constitutivos de incidencia pero estarían fuera de la esfera de la brecha de seguridad del artículo 33 RGPD.
Para llegar al punto de salida “consideración de si es brecha de seguridad” primeramente el Responsable del Tratamiento deberá haber puesto a disposición de sus empleados tanto una pequeña formación para comprender que es una incidencia, como un protocolo de comunicación y registro de incidencias, ya que de otra forma estaríamos hablando de “crónica de una muerte anunciada”.

Por tanto, como en toda construcción de una casa hay que partir de unos buenos cimientos y bajo este planteamiento se basa el RGPD que es de aplicación transversal, como un modelo Compliance y por tanto, lo importante es que el Responsable del tratamiento sea capaz de demostrar cómo ha llegado a la meta en vez de seguir un único camino, estamos hablando del modelo Compliance que permite aplicar tanto el hard law como el soft law con una única condición, explicar y ser capaz de demostrar por qué se ha llevado a cabo una decisión u otra y, en este aspecto es imposible abarcar esos pilares sin haber sembrado antes, por tanto nuestra siembra partirá de:
- Formación a los empleados y/o personas con accesos a datos de carácter personal de la organización, de tal forma que podamos enseñarles a identificar qué es una brecha de seguridad y cuál es el protocolo y plazos a seguir en tal caso.
- Protocolo. Ponerles a disposición un protocolo sencillo para comunicación de las posibles incidencias y que estas puedas ser supervisadas por el personal designado para que dentro del tiempo y forma establecidos se pueda tomar una decisión acerca de si la incidencia debe ser comunicada a la autoridad competente o no, y, en todo caso, minimizar el riesgo lo antes posible.
Tenemos que tener en cuenta que el art. 33 RGPD nos indica:
Art. 33 RGPD “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.”
De igual forma, atendiendo a la jerarquía de normas debemos tener en cuenta que este plazo de 72 horas emana de una norma general, si bien también pueden existir normas específicas,
como es el caso del REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, que ha establecido un plazo inferior para la comunicación de violaciones de seguridad para estos prestadores contemplados en la regulación eIDAS, siendo el plazo máximo de 24 horas frente a las 72 horas del RGPD.
Artículo 19. 2 Reglamento eIDAS” Requisitos de seguridad aplicables a los prestadores de servicios de confianza. Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso pertinente, a otros organismo relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes”
Cabe tener en cuenta que en este aspecto ya el Reglamento recogía la posibilidad del art. 34 del RGPD de comunicación de brechas a los afectados en su mismo artículo 19.2.
Artículo 19. 2 Reglamento eIDAS “Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.”
Por tanto, siempre debemos tener en cuenta los principios legalistas de que la especialidad puede a la generalidad y por tanto hay que ser gran conocedor de la empresa a la que asesoramos, ya sea como personal interno o externo y no dejarnos llevar por los plazos más generalistas.
Después del speech llegó la pupa, en el momento que se comunica la incidencia a través del protocolo indicado, también puede comunicarse fuera del protocolo, lo importante es que se comunique y se registre para valorarla, debemos proceder a analizarla para saber si nos encuadramos dentro del art. 33 RGPD y por tanto hay que comunicar a la autoridad de control la brecha, para ello se puede hacer un análisis interno, además de apoyarse de otras herramientas externas como pueda ser una primera evaluación a través de Comunica-Brecha RGPD https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd que si bien sirve para evaluar la necesidad de comunicar la brecha a los afectados, también puede servir para valorar la necesidad de comunicar ésta a la autoridad de control correspondiente.
En todo caso, como se ha partido al principio del artículo, debemos partir de los conceptos de accountability y Compliance y por tanto, respaldar la decisión que finalmente se tome:
- No comunicación de la brecha: en caso que se tome la decisión de no comunicar la brecha a la autoridad de control debemos ser capaces de respaldar la decisión por escrito por si en algún momento nos realizan una inspección, ya sea porque alguien denuncia la brecha ya sea por cualquier otra circunstancia. Es en este punto donde valoramos no sólo la incidencia sino hay que traer a colación la valoración del riesgo, y es aquí donde yo quiero añadir un foco de atención en los procedimientos de investigación que se han abierto a raíz de las comunicaciones de brechas de seguridad, de tal forma que en ese análisis del riesgo se pueda tener en cuenta también esta probabilidad.
- Comunicar la brecha de seguridad. En este sentido la AEPD ha creado una herramienta para la comunicación de las brechas de seguridad donde habrá que aportar la documentación del incidente y, en caso de que no se hubieran podido recabar todos los datos, evidentemente como lo primordial es comunicar sin dilación indebida, en ese caso la AEPD prevé la posibilidad de que se aporte la documental del incidente a posteriori.
Asimismo y, de forma paralela entra en juego el art. 34 del RGPD, donde el Responsable del Tratamiento deberá valorar si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas físicas, en cuyo caso habría que comunicar a éstas sin dilación indebida la brecha, para lo cual la AEPD ha creado una herramienta de valoración https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd para ayudar al responsable a tomar la decisión. A este respecto, hay que traer de nuevo a colación el REGLAMENTO (UE) No 910/2014 su art.19.
Artículo 19. 2 Reglamento eIDAS “Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.
Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás Estados miembros de que se trate y a la ENISA.
El organismo de supervisión notificado informará al público o exigirá al prestador de servicios de confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.
3. El organismo de supervisión facilitará a la ENISA anualmente un resumen de las notificaciones de violación de la seguridad y pérdida de la integridad recibidas de los prestadores de servicios de confianza.”

Y ya arrojadas unas anotaciones sobre las brechas, llegó el momento de arrojar números para analizar un poco ese riesgo del que tanto se habla en las comunicaciones de brechas y que está siendo el comodín del público para no cumplir con la obligación de comunicación:
Para esclarecer los datos se van a analizar el total de los expedientes desde 2018 hasta julio de 2021, haciendo distinción entre los diferentes tipos de procedimientos y responsables de tratamiento.
Resoluciones de la AEPD publicadas a raíz de una infracción del art. 33 RGPD
Se han emitido, desde la entrada en aplicación del RGPD, un total de 51 resoluciones por infracción del art. 33 del RGPD, las cifras que se plasman a continuación son muy significativas porque tan sólo el 12% de las resoluciones contienen un procedimiento sancionador, de los cuales un tercio de ellos es archivado y dos tercios se resuelven con la imposición de una sanción. Dicho de otro modo, tan sólo el 8% de las resoluciones fallan con la imposición de una sanción, si bien debemos tener en cuenta que los responsables y encargados del art. 77 (entidades de derecho público) no se les podrá sancionar económicamente, por lo que sólo un 4% de resoluciones emitidas por la AEPD en base al art. 33 RGPD han acabado en procedimiento sancionador y de ellas tan sólo 2 han acabado en una sanción económica.
Como ya he hecho anteriormente en otros artículos el análisis de las resoluciones en materia de brechas de seguridad, os dejo a continuación link a las mismas (Caminante no hay camino y Entre brechas anda el juego) donde se pueden ver los datos interrelacionados de los años 2018, 2019 y 2020 y, os incluyo a continuación un pequeño resumen secuencial:
- Año 2018 se emitieron 2 resoluciones que acabaron en archivo.
- Año 2019 se emitieron un total de 28 resoluciones, archivándose todas ellas. De estas 24 pertenecen al sector privado y 4 pertenecen al sector público.
- Año 2020 se emitieron un total de 14 resoluciones, de las cuales, 11 acabaron en archivo, 2 en apercibimiento a pesar de ser entidades del sector privado y únicamente se impuso una sanción económica a SAUNIER TEC por importe de 3600€.
- Año 2021. En lo que llevamos de año se han emitido 6 resoluciones, acabando tan sólo 1 de ellas en procedimiento sancionador, AEROLINEAS AIR EUROPA, a la cual se le impone una sanción de 500.000 € por infracción del art. 32.1 RGPD Y otra de 100.000€ por incumplimiento del art. 33 RGPD por haber hecho una notificación extemporánea de la quiebra de seguridad a que estaba obligada.

Resoluciones de la AEPD publicadas a raíz de una infracción del art. 34 RGPD
Con respecto a las comunicaciones de brechas de seguridad en base al artículo 34 RGPD, también obtenemos datos interesantes, ya que en total se han abierto 31 procedimientos de los cuales sólo 4 de ellos acabaron en procedimiento sancionador, si bien en todos los casos se trataba de un responsable del sector público y por tanto la sanción es 0€ (apercibimiento), en este sentido cabe destacar que en el año 2018 no existe ninguna resolución al respecto. Incluyo a continuación gráfico.


Durante los años 2018 a 2021 se puede apreciar una evolución en la cantidad de resoluciones, siendo 2019 el año en el que más resoluciones se emiten con diferencia respecto del resto de los años, que cada vez tiende a disminuir el número de aperturas de investigación tras la comunicación de una brecha y, por tanto desciende de forma considerable las actuaciones de la AEPD en este sentido que empieza a ver mucho más útil dar libertad a los responsables para que comuniquen sus brechas en vez de esperar a que comuniquen para hacerles un ZAS en toda la boca. Por tanto, deberíamos de pensar en el balance del riesgo en el que igual debemos de eliminar de la ecuación la posible sanción económica que pueda imponer la AEPD, puesto que de un total de 3578 comunicaciones de brechas de seguridad desde 2018 tan sólo han acabado 170 en la Subdirección de la Agencia Española de Protección de Datos, y de esas 170 tan sólo se han abierto 82 procedimientos, acabando en sanción económica tan sólo dos de ellos, por lo que la valoración total se podría decir que casi es inexistente el riesgo de ser sancionado económicamente si el Responsable del Tratamiento lleva a cabo sus obligaciones y su principio de proactividad.


Finalmente, para terminar de completar este artículo se van a analizar las notificaciones emitidas por cada Comunidad Autónoma durante los años 2019, 2020 y los cinco primeros meses del 2021.

Durante el año 2019 se realizaron un total de 1419 notificaciones, en el año 2020 se realizaron 1289 notificaciones y en los cinco primeros meses de 2021 se han emitido 708 notificaciones, desde el inicio de este procedimiento se han emitido un total de 3416 notificaciones por parte de las Comunidades Autónomas. Como se puede observar en la gráfica anterior las Comunidades que más notificaciones realizan y por lo tanto demuestran una mayor preocupación por garantizar los derechos inherentes a la protección de datos son las ciudades más habitadas del país, la Comunidad de Madrid y Cataluña. Del total de notificaciones emitidas el 39% de ellas han sido emitidas por la Comunidad de Madrid, seguidamente de Cataluña que emitió el 17% de las notificaciones. Sin embargo, las ciudades que menos notificaciones han emitido, demostrando una total despreocupación o desconocimiento por la materia son Ceuta y Melilla.

Como ya hemos indicado antes, la comunicación de la brecha no exime de una posible apertura de investigación que pudiere acabar en procedimiento sancionador, si bien actualmente, dado el gráfico que planteamos, aparentemente es ínfimo el riesgo de que se abra investigación respecto a la cantidad de notificaciones que se comunican y, aún menos son las que acaban en procedimiento sancionador, acabando la gran mayoría de las investigaciones en un archivo de expediente, si bien es cierto, dado los números que se arrojan en el presente artículo, que todavía hay mucha distancia que recorrer puesto que aún existe desconfianza en los responsables del tratamiento a la hora de dar cumplimiento con el art. 33 RGPD -comunicar la brecha-, dadas las pocas brechas que se comunican y que en algunas comunidades autónomas parece además que ni siquiera existen.
Este artículo se ha llevado a cabo con la colaboración como co-autora de Esther Elvira Gómez actual compañera en prácticas de ICEF Consultores.
En Madrid a 29 de julio de 2021
Co-Autora: Iciar López-Vidriero Tejedor
Co-Autora: Esther Elvira Gómez

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.
Redes sociales
Twitter: @ICIARLVT
Linkedin: Iciar López-Vidriero