La notificación de violaciones de seguridad y la adopción de decisiones individuales automatizadas en el marco del Reglamento General de Protección de Datos
Publicado el 20th noviembre 2017
En un esfuerzo por ayudar a los responsables y encargados del tratamiento en la aplicación de ciertas obligaciones del Reglamento General de Protección de Datos, el Grupo de Trabajo del Artículo 29 ha publicado unas directrices en lo que respecta a la obligación de notificar violaciones de seguridad y la adopción de decisiones individuales automatizadas, incluyendo la elaboración de perfiles, aclarando conceptos que plantean dudas interpretativas y aportando algunas recomendaciones y ejemplos aplicables en la práctica.
El Grupo de Trabajo del Artículo 29 –órgano colegiado que engloba representantes de las autoridades de protección de datos de los Estados Miembros de la Unión Europea– (el “GT 29“) adoptó el 3 de octubre de 2017 unas directrices relativas a la obligación de notificación de violaciones de seguridad y a la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles de individuos.
En materia de notificación de violaciones de seguridad, el GT 29 articula sus recomendaciones basándose en una triple clasificación de incidentes de seguridad en función de si éstos afectan a la confidencialidad, disponibilidad o integridad de los datos. El organismo facilita ejemplos en los que una violación de seguridad puede afectar al mismo tiempo a la confidencialidad y disponibilidad de los datos personales, incidiendo en la importancia de analizar caso por caso si una violación de seguridad que afecte a la disponibilidad temporal de los datos personales exige su notificación a la autoridad de control principal y a los interesados.
Sin perjuicio de que el GT 29 considera que el plazo de 72 horas para notificar una determinada violación de seguridad a la autoridad de control empieza a contar desde el momento en que el responsable del tratamiento tiene un grado de certeza razonable de que un incidente en materia de datos personales ha tenido lugar, lo realmente destacable es que los responsables deben contar con procedimientos internos que les permita investigar y detectar de inmediato si un determinado incidente afecta a datos personales y si deben, por lo tanto, notificar a la autoridad de control y a los interesados. Los procedimientos internos deben asimismo incluir un análisis respecto a la autoridad de control principal a la que debe notificarse. Estos procedimientos internos junto con la implementación de otras medidas técnicas y la suscripción, en su caso, de obligaciones de notificación de violaciones de seguridad con los encargados del tratamiento deben ser entendidos como medidas de seguridad apropiadas para detectar y notificar violaciones de seguridad sin dilaciones indebidas.
Las directrices proporcionan algunos ejemplos en los que el responsable del tratamiento debe notificar las violaciones de seguridad a los interesados afectados, destacando entre éstos cuando los nombres de usuario, las contraseñas y el historial de compra de consumidores de una plataforma de compra online se publiquen en Internet como consecuencia de un ciberataque o en el caso de falta de disponibilidad del historial clínico de los pacientes de un hospital durante un periodo de 30 horas como consecuencia de un ciberataque. Además, se facilitan otros ejemplos en los que la notificación de la violación de seguridad a los interesados dependerá de la naturaleza de los datos personales afectados y de la gravedad de las consecuencias que la violación de seguridad puede representar a los interesados.
Por último, las directrices del GT 29 inciden en la necesidad de analizar los riesgos que una determinada violación de seguridad comporta para los interesados destacando la probabilidad y la gravedad de dicho riesgo. En particular, el organismo colegiado considera que en el análisis de los riesgos deben tenerse en cuenta criterios como el tipo de violación (si afecta a la confidencialidad, disponibilidad o integridad de los datos), la naturaleza, el carácter sensible y el volumen de datos personales afectados, la facilidad de identificar a los interesados, la gravedad de las consecuencias para los interesados, las características especiales de determinados colectivos de interesados (niños), el número de interesados afectados y las características del responsable del tratamiento.
Por otro lado, el GT 29 destaca los beneficios que la elaboración de perfiles (que permite analizar y predecir aspectos relacionados con aspectos tan variados como el rendimiento profesional, la situación económica, la salud o las preferencias personales, entre otros) y la adopción de decisiones individuales automatizadas aportan a la economía y a la sociedad en general, pero manifiesta que al mismo tiempo dichas actividades comportan unos riesgos en materia de protección de datos que merecen la adopción de medidas de seguridad apropiadas.
Las directrices del GT 29 incluyen la definición de los conceptos de elaboración de perfiles y la adopción de decisiones individuales automatizadas, indicando que a pesar de que ambas técnicas pueden ser coincidentes su elemento diferencial es que en la adopción de decisiones individuales automatizadas no participan elementos humanos para la toma de decisiones.
El GT 29 apunta que la prohibición general de la adopción de decisiones individuales automatizadas que producen efectos jurídicos en el interesado (como podría ser el caso si se adoptara de manera automatizada la decisión de otorgar o denegar un determinado beneficio social a un interesado) o que le afecten de modo significativo y similar (si la decisión influye significativamente en el comportamiento o la elección de los interesados) no puede sortearse por los responsables del tratamiento involucrando medios humanos en la adopción de decisiones cuando dicha intervención humana no juega un papel significativo que tenga la autoridad y competencia para alterar o cambiar las decisiones.
Asimismo, el organismo destaca que el responsable del tratamiento debe hacer esfuerzos para facilitar información significativa de la lógica aplicada en las labores de elaboración de perfiles y de adopción de decisiones individuales automatizadas (cuando éstas no estén prohibidas) de manera que sea comprensible para los interesados y se les informe de los criterios y razones en las que se basa para alcanzar dicha decisión y los efectos que pueden tener para los mismos mediante ejemplos reales y tangibles, sin incluir explicaciones técnicas complejas que puedan generar un efecto contrario en los interesados.
Por último, las directrices apuntan una serie de principios y obligaciones que son comunes a las actividades de elaboración de perfiles y adopción de decisiones individuales automatizadas, manifestando asimismo la complejidad y particularidades que puede comportar la adopción de decisiones individuales automatizadas que afecten a niños.
Aunque dichas directrices no son definitivas por estar sometidas a un proceso de consulta pública, sí que suponen un primer paso para despejar dudas interpretativas respecto a algunos conceptos ambiguos de la propia normativa, especialmente mediante la inclusión de ejemplos prácticos y la propuesta de recomendaciones específicas en situaciones particulares.