Con motivo del revuelo que ha supuesto la aplicación del RGPD desde el pasado 25 de mayo y la incertidumbre que todavía existe a nivel usuario/interesado, vamos a utilizar este caso para explicar cómo actuar en caso de que tus datos de carácter personal se hayan visto afectados por una brecha de seguridad.
Si eres usuarios de Typeform y se pierden tus datos
Imaginemos cualquier ecommerce que quiere servirse de los formularios de Typeform. El ecommerce será el responsable del tratamiento y Typeform el encargado del tratamiento, y como establece el RGPD, el tratamiento por el encargado se regirá por un contrato u otro acto jurídico, que en este caso, encontraremos en los "Términos y Condiciones" de la web de Typeform, el ecommerce deberá aceptar los mismos para contratar los servicios.
En los "Términos y Condiciones" de Typeform, y más concretamente en la "Política de Privacidad", se indican aspectos como el tipo de datos de carácter personal a los que va a acceder el encargado del tratamiento, durante cuánto tiempo podrá el encargado del tratamiento tratar los datos de los clientes del responsable del tratamiento, las obligaciones de ambas partes, las medidas de seguridad que aplicará el encargado del tratamiento, etcétera.
Supongamos ahora que los datos de carácter personal de los usuarios del ecommerce como, por ejemplo: nombre y apellidos, tarjetas de crédito, datos de facturación, domicilio, fecha de nacimiento… ubicados en los servidores de Typeform han sufrido un ataque. El RGPD obliga al encargado a notificar sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento, por lo que Typeform deberá comunicarle al ecommerce lo antes posible que los datos de sus usuarios se han visto afectados para que éste pueda notificarlo a la Agencia Española de Protección de Datos en un plazo de 72 horas.
Otro aspecto importante es la necesidad de determinar si será necesario o no comunicar al usuario afectado. El RGPD determina que cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
Es aquí donde tanto Typeform como el responsable deberán ponderar si la categoría de datos afectados requiere de comunicación al afectado, en este ejemplo, como hemos comentado anteriormente, la comunicación a los usuarios sería obligada puesto que en los servidores se encontraban datos bancarios, domicilio, etcétera.
Responsabilidad por el tratamiento de los datos
Por último, cabe preguntarse si se podría exigir algún tipo de responsabilidad por parte del usuario hacia el responsable o encargado y del ecommerce hacia Typeform.
Con respecto a la relación usuario-responsable/encargado, el usuario tendrá derecho a presentar una reclamación ante la Agencia Española de Protección de Datos, si la violación de seguridad hubiera supuesto daños y perjuicios materiales o inmateriales para el usuario tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
El ecommerce podrá derivar la responsabilidad en Typeform si demuestra que está exento de responsabilidad o si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Por último, teniendo en cuenta que la violación de seguridad tuvo lugar con posterioridad al 25 de mayo, habrá que estar atentos a las posibles actuaciones de las autoridades de supervisión.