Problemas con la seguridad de los datos

estás en
Tiempo estimado de lectura: 3 min

¿Cuándo se produce una quiebra o violación de la seguridad?
Son todas las incidencias que puedan ocasionarte la destrucción, pérdida o alteración, ya sea accidental o ilícita, de datos personales que hayas podido transmitir, que estés conservando o que hayas tratado.
También se considera como tal, la existencia de algún tipo de comunicación o acceso no autorizado a dichos datos.
Ejemplos de estas situaciones pueden ser, el extravío de algún ordenador portátil de tu empresa o el tuyo propio; cuando alguien, incluso empleados sin permiso han accedido a alguna base de datos de tu empresa; el borrado sin intención de algún fichero o de algunos registros de datos personales.
La valoración del riesgo en la seguridad debes diferenciarla del análisis previo al tratamiento. En ese caso, se debe valorar hasta qué punto lo ocurrido, por el tipo de datos y el tipo de consecuencias que puede acarrear, supone o no un daño en los derechos y libertades de clientes o usuarios.
Debes considerar que ha existido un problema o violación de seguridad, cuando tengas certeza de que se ha producido y tienes conocimiento suficiente de su naturaleza y alcance.
Con la mera sospecha, no deberías indicar una comunicación o notificación, ya que no podrías acreditar con certeza que se han producido o se van a producir riesgos para los derechos y libertades de clientes y usuarios.
¿Qué plazo hay para la comunicación?
Cuando se produzca alguno de estos problemas, el encargado del tratamiento debe comunicarlo de inmediato al responsable de los ficheros o del tratamiento para que éste a su vez lo comunique a la autoridad de protección de datos.
Como responsable de los ficheros o del tratamiento estarás obligado a comunicar estos problemas en un plazo máximo de 72 horas desde que hayas tenido conocimiento de los mismos. No tendrás que hacer esta comunicación si el problema en la seguridad, no ha supuesto un riesgo para los derechos y libertades de tus clientes o usuarios.
Si por cualquier razón, hicieras la comunicación más allá de las 72 horas, tendrás que justificarlo.
¿Qué contenido debe tener esa comunicación?
La comunicación o notificación que como responsable debes realizar debe tener un contenido mínimo:
describir el tipo de problema de seguridad, indicando si te es posible el tipo o categoría de datos, el número de clientes o usuarios afectados y registros
informar el nombre y datos de contacto del delegado de protección de datos o de otro contacto donde se pueda obtener información
indicar las posibles consecuencias de los problemas de seguridad que han existido
describir las medidas que se propuestas o que se van a adoptar por el responsable del tratamiento y las adoptadas para atenuar los efectos negativos de los problemas de seguridad
Si no fuera posible facilitar la información a la vez que se realiza la notificación, está se tendrá que facilitar lo antes posible sin dilaciones.
Como responsable del tratamiento, deberás documentar el problema o violación de seguridad que se ha producido, en concreto, cuál ha sido, ¿qué lo ha provocado?, ¿qué medidas para corregirlo se han adoptado?
Los daños pueden ser materiales o inmateriales, y pueden ir por ej. desde la discriminación de los afectados, a la usurpación de su identidad, o perjuicios económicos, o dar publicidad a sus datos personales.
¿A quién se debe enviar la comunicación?
a la Agencia de Protección de datos u órgano competente de la Comunidad Autónoma
al interesado, en caso de suponer un alto riesgo para los derechos y libertades de las personas físicas. En este último caso, no será necesaria, en los siguientes supuestos:
el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado
el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que exista alto riesgo para los derechos y libertades del interesado
cuando suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados

¿te ha resultado util?
no me gusta 0
Visitas: 6