Breach — Violaciones de Seguridad (Art. 33-34)
¿Qué es un breach?
Violación de la seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados.
Ejemplos en salud:
- ❌ Pérdida de un portátil con HCE sin cifrar
- ❌ Acceso de un empleado a la historia clínica de un famoso
- ❌ Ransomware en el servidor del hospital
- ❌ Email con datos de pacientes enviado a destinatario equivocado
- ❌ Fuga de datos de una app de telemedicina
Notificación a la AEPD (Art. 33)
¿Breach? → ¿Alto riesgo para los derechos?
├── Sí → Notificar a AEPD en ≤ 72h
└── No → Documentar internamente (no notificar)
Plazo: 72 horas desde que tienes constancia
| Información a incluir | Descripción |
|---|---|
| Naturaleza del breach | Categorías y número de afectados, tipo de datos |
| Datos del DPO | Contacto para más información |
| Consecuencias | Posibles efectos para los afectados |
| Medidas adoptadas | Para resolver y mitigar daños |
Si no puedes en 72h: envías informe inicial y luego el completo.
Notificación al interesado (Art. 34)
Si el breach es de alto riesgo, debes informar a los afectados sin dilación indebida.
Contenido:
- Descripción del breach
- Datos del DPO
- Consejos para protegerse (ej: cambiar contraseña, vigilar su HC)
- Medidas adoptadas
Excepciones (no hace falta notificar al interesado):
- Datos cifrados (y la clave no está comprometida)
- Se han tomado medidas que eliminan el alto riesgo
- Supondría un esfuerzo desproporcionado (entonces comunicación pública)
Breaches en el sector salud — Casuística
| Tipo de breach | ¿AEPD? | ¿Afectados? | Ejemplo real |
|---|---|---|---|
| Acceso no autorizado a HC | ✅ Sí | ✅ Sí | Empleado curiosea HC de conocido |
| Pérdida de dispositivo | ✅ Sí | ✅ Sí | Móvil sin cifrar con datos de pacientes |
| Ransomware | ✅ Sí | ✅ Sí | Hospital paralizado, datos secuestrados |
| Error humano (email) | ✅ Sí | ✅ Sí | Email con datos enviado a quien no debe |
| Breach en app salud | ✅ Sí | ✅ Sí | API expuesta en app de telemedicina |
| HC cifrada y perdida | ❌ No | ❌ No | PC robado pero disco cifrado |
Registro interno de breaches (Art. 33.5)
Debes documentar todos los breaches (incluso los que no se notifican):
- Fecha y circunstancias
- Efectos
- Medidas correctoras
Esto forma parte del principio de accountability (Art. 5.2).
Sanciones
| Incumplimiento | Sanción |
|---|---|
| No notificar a la AEPD en 72h | Hasta 10M € o 2% facturación |
| No notificar al interesado | Hasta 10M € o 2% facturación |
| No documentar breaches | Hasta 10M € o 2% facturación |
Checklist para empresas de salud
□ Protocolo de detección de breaches
□ Equipo de respuesta (DPO + IT + legal)
□ Plantilla de notificación a AEPD predefinida
□ Cifrado de dispositivos móviles y portátiles
□ Logs de auditoría de accesos a HCE
□ Formación anual del personal
□ Seguro de responsabilidad por breach
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 33-34
- dpo
- eipd
- gdpr-vision-general