PROFESIONALES EN PROTECCIÓN DE DATOS

Notificación de las violaciones de seguridad de datos según el RGPD

On junio 13, 2017

Notificación de las violaciones de seguridad de datos según el RGPD

La obligatoriedad de notificación de violaciones de seguridad de datos es una de las novedades incluidas en el Reglamento General de Protección de Datos (RGPD).

Entenderemos como brecha de seguridad o violaciones de seguridad de datos todo percance que origine la destrucción, pérdida o modificación (accidental o ilícita) de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.  

Cuando se produzca una violación de la seguridad de los datos, el Responsable de seguridad deberá notificar a la Autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. La notificación a la Autoridad, a ser posible, debe de producirse antes de las 72 horas siguientes a que el responsable tenga constancia de ella.

El contenido mínimo que debe incluir de dichas notificaciones debe ser:

  • Describir la naturaleza de la violación de la seguridad (las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados).
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

A demás de notificar la brecha de seguridad a la Autoridad de control, en los casos en los que sea probable que la violación de seguridad tenga alto riesgo para los derechos o libertades de los afectados también se deberá notificar a dichos afectados.

Puede ocurrir que la notificación no pueda realizarse dentro de las 72 horas, por la dificultad de determinar su alcance, en casos como este la notificación puede realizarse posteriormente acompañada de una explicación de los motivos del retraso.  También se puede proporcionar la información de forma escalonada.

Los casos en los que se desvele información confidencial, contraseñas, datos sensibles o que puedan producir perjuicios económicos a los afectados, deben de clasificarse como violaciones de la seguridad de alto riesgo.

No será necesario notificar a los afectados cuando:

  • El responsable hubiera adoptado medidas técnicas u organizativas antes de la violación de la seguridad, como puede ser el cifrado.
  • No haya posibilidad de que el alto riesgo se materialice.
  • La notificación implique un esfuerzo desproporcionado.
  • By adminass  0 Comments