Anterior Lección

Notificación de brechas de seguridad de los datos

Notificación de brechas de seguridad de los datos

 

Una de las principales novedades que establece esta normativa europea es la obligación por parte de los responsables de notificar a los afectados y a las Autoridades de control de las violaciones de seguridad de los datos que se producen. Y además en un plazo de 72 horas. excepto si es improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. (art. 33 RGPD).

El objetivo de notificárselo a los afectados es permitir que puedan tomar medidas para protegerrse de sus consecuencias. Por ello, el RGPD exige que se realice de manera inmediata. La finalidad es siempre que el afectado pueda reaccionar tan pronto como sea posible.

 Incidentes como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros son consideradas violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento indica.

 

 

Criterios para valorar si un incidente de seguridad debe notificarse

A la hora de decidir si debemos notificar un determinado incidente de seguridad, debemos tener en cuenta:

  • El potencial daño para los datos de los interesados ​​(agravios en los datos personales): este habrá de incluir el agravio emocional, así como físico y financiero. Algunas de las formas en las que este agravio puede manifestarse son: exposición al robo de identidad a través del lanzamiento de datos identificativos que no sean públicos, tales como números de pasaporte; o información sobre los aspectos privados de la vida de la persona como por ejemplo sus circunstancias financieras.

 

  • El volumen de datos personales afectados: habrá que evaluarlo en relación con el tipo de datos objeto de la brecha de seguridad.

 

  • El nivel de los datos personales, ¿son sensibles ?: existen más probabilidades de que los derechos y libertades de la persona sean dañados cuando los datos envueltos en la brecha de seguridad son sensibles. Por tanto, incluso un solo registro podría ser el desencadenante de la brecha de seguridad si la información es particularmente sensible.

 

 

Procedimiento para notificar una brecha de seguridad

Pasos para informar a la AEPD de una brechas de seguridad:

  1. Valoración del riesgo
  2. Evaluar si hay daños materiales o inmateriales
  3. Calcular el alcance
  4. Ver si es una evidencia o un incidente real
  5. Rellenar el formulario de la AEPD

 

 

La notificación ha de incluir un contenido mínimo:

  • La naturaleza de la violación, categorías de datos y de interesados,
  • medidas impuestas por el responsable para resolver esa quiebra y,
  • si procede, las medidas necesarias para reducir los posibles efectos negativos sobre los interesados.

 

El RGPD agrega a los contenidos de la notificación las recomendaciones sobre las medidas que pueden adoptar los interesados ​​para hacer frente a las consecuencias de la quiebra.

 

 

Excepciones a la obligación de notificación

La notificación a los interesados ​​no será necesaria cuando:

  • El responsable hubiera adoptado medidas técnicas u organizativas realizadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.

La UE elaborará un formulario estandarizado a nivel europeo tanto para facilitar a los responsables la presentación de unas notificaciones completas según los criterios del RGPD como para que esas notificaciones se efectúen de forma coordinada a en toda la Unión Europea.

 

Notificación brecha de seguridad

 

El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera como infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

Anterior Lección
Back to
error: Content is protected !!