🔹 Todos recordamos las grandes caídas de Amazon Web Services (AWS), que han dejado inoperativas durante horas a empresas, bancos y servicios públicos.
Pero… ¿sabías que una simple pérdida de disponibilidad puede considerarse una violación de seguridad de los datos personales en términos del RGPD?
💡 La disponibilidad también es seguridad
El artículo 4.12 del RGPD define violación de seguridad como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados, o la comunicación o acceso no autorizados a dichos datos”.
👉 En otras palabras, no hace falta que te roben datos para tener una brecha: basta con que los datos no estén disponibles temporalmente por una caída de infraestructura o un fallo técnico.
El artículo 32 RGPD obliga al responsable y al encargado del tratamiento a garantizar la confidencialidad, integridad y disponibilidad de los sistemas.
Por tanto, si una caída compromete la disponibilidad, estamos ante un incidente de seguridad que puede ser una violación de datos personales.
📉 Cuándo se convierte en una brecha notificable
No todas las pérdidas de disponibilidad deben notificarse.
Según el artículo 33 del RGPD y el artículo 35 de la LOPDGDD, la obligación de comunicar a la AEPD (y, en su caso, a los afectados) dependerá de:
1º La probabilidad de que el incidente afecte a los derechos y libertades de las personas físicas.
2º La gravedad del impacto derivado de la falta de acceso a los datos.
El Comité Europeo de Protección de Datos (EDPB) ha sido claro:
Incluso una pérdida temporal de disponibilidad puede requerir notificación si afecta a datos críticos, como los de salud o emergencias médicas.
Ejemplo: si un hospital no puede acceder a historiales clínicos durante horas por una caída en la nube, el impacto en la vida o integridad de las personas es evidente.
🗂️ Documentar siempre, notificar cuando proceda
Incluso cuando la pérdida de disponibilidad no requiera notificación, el responsable del tratamiento debe documentar internamente el incidente, según el artículo 33.5 del RGPD.
Esto implica registrar:
* Fecha y duración de la caída.
* Sistemas o servicios afectados.
* Datos personales implicados.
* Medidas adoptadas para restablecer el servicio.
* Evaluación de riesgos y decisión sobre la notificación.
⚙️ Qué hacer ante una pérdida de disponibilidad significativa
1º Activar el plan de respuesta a incidentes.
Identifica la causa, el alcance y la duración del incidente.
2º Evaluar el impacto en los datos personales.
Determina si hay riesgo real para los interesados.
3º Documentar todas las acciones.
Guarda evidencias, comunicaciones y decisiones.
4º Notificar si existe riesgo.
Si el impacto es relevante, comunícalo a la AEPD en un máximo de 72 h y, si procede, a los afectados.
