U na brecha de la seguridad de los datos se produce cuando los datos personales de los que somos responsables sufren un incidente de seguridad que da lugar a la rotura de la confidencialidad, disponibilidad o integridad de los mismos. ¿Qué hacer si esto ocurre?
Es probable que la brecha de la seguridad ponga en riesgo los derechos y libertades de las personas. Si fuera así, se deberá notificar a la autoridad de control sin demora y a más tardar 72 horas después de que hayan tenido constancia de ello.
Además, si la misma brecha de la seguridad de los datos personales, supone un alto riesgo para las personas afectadas, estas deberán ser informadas (a menos que se hayan aplicado medidas de protección de seguridad técnicas y organizativas efectivas, u otras medidas que garanticen que ya no existe la probabilidad de que se realice el riesgo).
Como organización, resulta vital aplicar las medidas de seguridad técnicas y organizativas apropiadas con el fin de evitar posibles brechas de la seguridad de los datos personales. ¿Cómo evitar la brecha de seguridad de los datos personales? Qué medidas técnicas serían relevantes y apropiadas?.
Si es un encargado del tratamiento deberá notificar cada brecha de la seguridad de los datos al responsable del tratamiento; en el propio contrato que les vincula debería aparecer, y es un requisito legal, la exigencia de de comunicar la brecha de seguridad al Responsable y con ello :
Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas y de seguridad para determinar de inmediato si se ha producido una brecha de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado.
Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la brecha de la seguridad de los datos personales y sus consecuencias y los efectos adversos para el interesado. Dicha notificación puede resultar necesaria en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente RGPD.
A continuación presentamos varios ejemplos para ofrecer la visión necesaria en el caso de notificación.
¿Hay una brecha seguridad de los datos personales, qué hace la organización si se revelan los datos personales?
La organización debe notificar a la autoridad de protección de datos (APD) y a las personas
En este caso, la empresa debe informar a la autoridad de control de la brecha de la seguridad. Dado que incluyen datos personales sensibles, como los datos sanitarios, la empresa también debe notificarlo a los empleados.
Otro ejemplo que nos ayuda tomar conciencia de la gravedad de la brecha y de la necesidad de actuar, por ejemplo:
Un empleado en una clínica de salud decide copiar la información de los pacientes en un CD y la publica en internet. Hay una brecha de la seguridad de los datos personales. En cuanto la clinica se da cuenta, tiene 72 horas para informar a la autoridad de control y, como la información personal contiene información sensible; … si un paciente tiene cáncer, una paciente está embarazada,… etc., también debe informar a los pacientes.
¿Hay una brecha seguridad de los datos personales, qué hacer desde la clínica con los riesgos latentes?
La clínica ¿ha aplicado las medidas de protección técnicas y organizativas apropiadas?; si hubiera aplicado las medidas de protección apropiadas (como la anonimización o el cifrado de los datos), no existiría la probabilidad de que se concretara el riesgo y podría quedar exento de notificarlo a los pacientes.
¿Hay una brecha seguridad de los datos personales, qué hacer desde la empresa?
La empresa debe notificar a los clientes y después puede tener que notificar a la APD y las personas
Referencia a la norma
- El artículo 4, apartado 12, dice textualmente «violación de la seguridad de los datos personales»: toda brecha o violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
Las brechas de la seguridad de los datos personales, si no se toman a tiempo medidas adecuadas, pueden entrañar daños y perjuicios físicos.
Estos daños, tanto materiales como inmateriales, afectarán a las personas físicas.
¿Hay una brecha seguridad de los datos personales, qué hacer si surgen daños?
Algunos de estos daños pueden llegar a la pérdida de control sobre sus datos personales. La restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Por consiguiente, atendiendo al principio de responsabilidad proactiva: tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la brecha de la seguridad de los datos personales a la autoridad de control competente,
Salvo que el responsable pueda demostrar la improbabilidad de que la brecha de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.
Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.
La comunicación debe describir la naturaleza de la brecha de la seguridad de los datos personales y las recomendaciones para que la persona física afectada pueda mitigar los efectos adversos resultantes Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.