Para empezar, vamos a explicar el significado de “quiebra de seguridad”, sus consecuencias, medidas que debemos de tomar ante ello y si debemos de avisar a los afectados ante esta situación.
¿Qué es una quiebra de seguridad?
El artículo 4.12 del Reglamento General de Protección de datos establece como quiebra de la seguridad toda aquella violación que genere la destrucción, pérdida o alteración de datos personales. En resumen, la ley establece como quiebra de seguridad el hecho de que la empresa o institución pública no pueda conservar la totalidad de la información sin alterar y que no pueda evitar el acceso a aquella información a personas no autorizadas.
¿Qué consecuencias hay ante la quiebra de seguridad?
La violación de la seguridad en el tratamiento de datos personales puede desencadenar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como consecuencia de la pérdida de control de sus datos personales, que puede traducirse en usurpaciones de identidad y pérdidas de carácter financiero.
¿Qué se debe de hacer ante una quiebra de seguridad?
En el caso que se produzca una violación de la seguridad, el encargado como responsable del tratamiento de datos deberá notificarlo a las autoridades con un máximo de 72 horas después de la comisión del acto delictivo. En caso que se produzca posteriormente, la notificación deberá ir acompañada de una exposición de motivos que justifiquen la demora.
El contenido de la notificación de la quiebra de seguridad deberá tener una descripción de la naturaleza de la infracción, aportando el nombre y los datos del Delegado de Protección de Datos y realizando una exposición de las posibles consecuencias que puedan derivar de la quiebra de seguridad. Finalmente, se deberán exponer la serie de medidas adoptadas para terminar con la quiebra.
¿Debemos de comunicar la quiebra de seguridad a los afectados?
En el caso que la quiebra de seguridad en los datos personales pueda producir una violación en de los derechos y libertades de los usuarios, el responsable tendrá la obligación de informar a las personas afectadas. Esta comunicación no será necesaria cuando las medidas de protección realizadas en respuesta de la quiebra hayan sido efectivas y ya no exista la probabilidad de que se vulneren los derechos y libertades.