Tras la entrada en vigor el pasado 25 de mayo de 2018 del nuevo Reglamento General de Protección de datos se ha producido una profunda modificación respecto a los pasos a seguir ante una quiebra de seguridad de datos.
¿Qué es una quiebra de seguridad?
El artículo 4.12 del Reglamento General de Protección de datos define como quiebra de la seguridad como “aquellos incidentes que ocasionan la destrucción, pérdida o alteración de datos personales, así como la comunicación o acceso no autorizado a los mismos”. En resumen, la ley establece como quiebra de seguridad el hecho de que la empresa o institución pública no pueda conservar la totalidad de la información sin alterar y que no pueda evitar el acceso a aquella información a personas no autorizadas.
La violación de la seguridad en el tratamiento de datos personales puede desencadenar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como consecuencia de la pérdida de control de sus datos personales, que puede traducirse en usurpaciones de identidad y pérdidas de carácter financiero.
¿Como actuar ante una quiebra de seguridad?
En el caso de producirse una violación de la seguridad, el responsable del tratamiento de datos deberá notificarlo a las autoridades en un plazo máximo de 72 horas después de la comisión del acto delictivo. En caso que se produzca posteriormente, la notificación deberá ir acompañada de una exposición de motivos que justifiquen la demora. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
El contenido de la notificación de la quiebra de seguridad deberá tener una descripción de la naturaleza de la infracción, aportando el nombre y los datos del Delegado de Protección de Datos y realizando una exposición de las posibles consecuencias que puedan derivar de la quiebra de seguridad. Finalmente, se deberán exponer la serie de medidas adoptadas para terminar con la quiebra.
¿Se debe comunicar a los afectados?
Si la quiebra de seguridad en los datos personales pueda entrañar un alto riesgo en la violación de los derechos y libertades de los usuarios, el responsable deberá informar a las personas afectadas adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.
Esta comunicación no será necesaria cuando las medidas de protección ejecutadas en respuesta de la quiebra hayan sido efectivas y ya no exista la probabilidad de que se vulneren los derechos y libertades.
Nueva guía de la Agencia Española de Protección de Datos (AEPD)
El pasado mes de junio la Agencia Española de Protección de Datos (AEPD) presentó la “Guía para la gestión y notificación de brechas de seguridad” con el objetivo de ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.
Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.
El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.
¿Necesitas ayuda para la adaptación al nuevo RGPD?
Como siempre estamos a su disposición para ampliar la información que precise y realizar los trámites preceptivos que solicite. En caso de querer solicitar un presupuesto no dude en ponerse en contacto con nuestros profesionales, para todo lo relacionado con RGDP les asistirá la letrada Estefanía Alarcón.
Si lo cree conveniente llame ahora al 973 279 700 o contáctenos a través de e-mail ealarcon@centregestor.es
Muy Atentamente,