Problemas con la seguridad de los datos

Debes informar cuando se ha producido un problema de seguridad

Si eres el responsable de los ficheros o del tratamiento de datos personales estarás obligado a notificar y comunicar a la Agencia de Protección de Datos, o al organismo respectivo de la Comunidad Autónoma, que se se producido un problema con la seguridad de los datos.

Crea tu modelo de documento de seguridad
Comenzar
Responde unas pocas preguntas. Nosotros nos encargaremos del resto

Son todas las incidencias que puedan ocasionarte la destrucción, pérdida o alteración, ya sea accidental o ilícita, de datos personales que hayas podido transmitir, que estés conservando o que hayas tratado.

También se considera como tal, la existencia de algún tipo de comunicación o acceso no autorizado a dichos datos.

Ejemplos de estas situaciones pueden ser, el extravío de algún ordenador portátil de tu empresa o el tuyo propio; cuando alguien, incluso empleados sin permiso han accedido a alguna base de datos de tu empresa; el borrado sin intención de algún fichero o de algunos registros de datos personales.

La valoración del riesgo en la seguridad debes diferenciarla del análisis previo al tratamiento. En ese caso, se debe valorar hasta qué punto lo ocurrido, por el tipo de datos y el tipo de consecuencias que puede acarrear, supone o no un daño en los derechos y libertades de clientes o usuarios.

Debes considerar que ha existido un problema o violación de seguridad, cuando tengas certeza de que se ha producido y tienes conocimiento suficiente de su naturaleza y alcance.

Con la mera sospecha, no deberías indicar una comunicación o notificación, ya que no podrías acreditar con certeza que se han producido o se van a producir riesgos para los derechos y libertades de clientes y usuarios.

 

Cuando se produzca alguno de estos problemas, el encargado del tratamiento debe comunicarlo de inmediato al responsable de los ficheros o del tratamiento para que éste a su vez lo comunique a la autoridad de protección de datos.

Como responsable de los ficheros o del tratamiento estarás obligado a comunicar estos problemas en un plazo máximo de 72 horas desde que hayas tenido conocimiento de los mismos. No tendrás que hacer esta comunicación si el problema en la seguridad, no ha supuesto un riesgo para los derechos y libertades de tus clientes o usuarios.

Si por cualquier razón, hicieras la comunicación más allá de las 72 horas, tendrás que justificarlo.

 

La comunicación o notificación que como responsable debes realizar debe tener un contenido mínimo:

  • describir el tipo de problema de seguridad, indicando si te es posible el tipo o categoría de datos, el número de clientes o usuarios afectados y registros

  • informar el nombre y datos de contacto del delegado de protección de datos o de otro contacto donde se pueda obtener información

  • indicar las posibles consecuencias de los problemas de seguridad que han existido

  • describir las medidas que se propuestas o que se van a adoptar por el responsable del tratamiento y las adoptadas para atenuar los efectos negativos de los problemas de seguridad

Si no fuera posible facilitar la información a la vez que se realiza la notificación, está se tendrá que facilitar lo antes posible sin dilaciones.

Como responsable del tratamiento, deberás documentar el problema o violación de seguridad que se ha producido, en concreto, cuál ha sido, ¿qué lo ha provocado?, ¿qué medidas para corregirlo se han adoptado?

Los daños pueden ser materiales o inmateriales, y pueden ir por ej. desde la discriminación de los afectados, a la usurpación de su identidad, o perjuicios económicos, o dar publicidad a sus datos personales.

 

  • a la Agencia de Protección de datos u órgano competente de la Comunidad Autónoma

  • al interesado, en caso de suponer un alto riesgo para los derechos y libertades de las personas físicas. En este último caso, no será necesaria,  en los siguientes supuestos:

    • el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado

    • el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que exista alto riesgo para los derechos y libertades del interesado

    • cuando suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados

Crea tu modelo de documento de seguridad
Comenzar
Responde unas pocas preguntas. Nosotros nos encargaremos del resto