¿Qué debemos hacer ante una brecha de seguridad?

Entre las novedades que impone el nuevo Reglamento en materia de protección de datos al Delegado de Protección de Datos o  DPO (“Data Protection Officer”) destaca el deber de notificar a la autoridad de control y a los interesados las violaciones de seguridad de los datos personales que la empresa maneja.

El Reglamento es muy claro a la hora de definir lo que debemos entender por una violación de seguridad y así, especifica que será la destrucción, pérdida o alteración accidental o ilícita de datos personales. También se considera una violación de datos personales la comunicación o acceso no autorizados a dichos datos.

brecha de seguridad

Ante una brecha de seguridad el encargado debe:

1. Notificar a la autoridad competente

El encargado del tratamiento a través del DPO deberá notificarla en un plazo máximo de 72 horas a la autoridad nacional competente.

Si la notificación a la autoridad de control no tiene lugar en este plazo, deberá acompañarse de los motivos por el que se produjo el retraso.

El artículo 33 del RGPD establece que debe informarse a la autoridad de control competente de los siguientes puntos:

  • detallar la naturaleza de la violación de seguridad y si es posible las categorías de datos y número aproximado de personas afectadas.
  • comunicar el nombre y datos de contacto del delegado de protección de datos
  • describir las posibles consecuencias de la violación de seguridad
  • puntualizar las medidas adoptadas/propuestas para poner remedio a la brecha de seguridad de datos personales.

No será necesario comunicar una violación de la seguridad de los datos si es improbable que tal violación de la seguridad pueda constituir un riesgo para los derechos y las libertades de la persona.

2. Notificar a los interesados

Cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará en un lenguaje claro y sencillo al interesado sin dilación indebida.

No será necesario esta comunicación  cuando se hayan adoptado las medidas de protección técnicas y organizativas apropiadas haciendo ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos o, cuando suponga un esfuerzo desproporcionado. En este último caso, se deberá hacer una comunicación pública o medida similar en la que se informe al conjunto de interesados afectados.

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

La notificación de las brechas de seguridad debe entenderse como una herramienta que mejora el cumplimiento con respecto de la protección de datos personales.

A continuación os dejamos un esquema para aclarar las acciones necesarias en cada caso:

visual

Más información:

¿Cuáles son las obligaciones de los responsables de tratamientos de datos personales?

¿Cuáles son los nuevos retos en materia de protección de datos?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: