A lo largo de diferentes posts, nuestro consultor jurídico te ha ido desgranando las novedades del Reglamento General de Protección de datos (RGPD).
Nos ha hablado de los derechos digitales de los trabajadores y de la importancia de designar un delegado de Protección de Datos.
También nos ha explicado con más detenimiento cómo ha de ser el tratamiento de los datos concretos.
Pero, ¿qué ocurre si hay una violación de seguridad de los datos personales en tu empresa? Desde Smartup Consulting sabemos que contar con la figura de un consultor jurídico es la mejor forma de afrontar una situación así.
¿Qué es un violación de seguridad de datos personales?
Lo primero es saber qué supone una violación de seguridad de datos personales. Hace referencia a la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Una violación de seguridad de datos personales puede conllevar desde daños y perjuicios físicos, materiales o inmateriales, hasta la pérdida del control de los datos personales, usurpación de identidad, daño reputacional para las empresas o cualquier otro menoscabo económico o social para las personas.
Con el fin de evitar sus consecuencias y posibles efectos adversos, el responsable del tratamiento de los datos personales debe adoptar medidas de seguridad para minimizar los riesgos para los derechos y libertades de las personas. Para ello, puede activar accesos con usuario y contraseña, cifrado o seudonimización, alertas de sistemas de detección o prevención de intrusión, análisis de anomalías de tráfico de red, etc.
Para nuestro consultor jurídico, los aspectos más relevantes a la hora de actuar ante una brecha de seguridad es la rapidez y agilidad, dado que el tiempo es un factor que incrementa sus efectos.
¿Cómo se notifica?
En el momento que el responsable del tratamiento detecte e identifique una brecha de seguridad deberá notificarlo a la Agencia Española de Protección de Datos (AEPD) o autoridad de control competente. Hay un plazo de 72 horas para notificar estas incidencias.
«Toda comunicación realizada fuera de este plazo deberá ir acompañada de los motivos que han ocasionado tal retraso», afirma nuestro consultor jurídico.
Dicha notificación deberá contener como mínimo los siguientes aspectos:
- Descripción de la naturaleza de la violación de seguridad de los datos personales, así como las categorías y el número aproximado de afectados cuando sea posible.
- Nombre y datos de contacto del Delegado de Protección de Datos (DPD) u otro contacto a fin de obtener más información.
- Descripción de las posibles consecuencias de la violación de seguridad.
- Descripción de las medidas adoptadas o planteadas por el responsable del tratamiento para poner remedio, incluyendo si procede, las medidas de seguridad para mitigar los posibles efectos.
En caso de no ser posible proporcionar conjuntamente esta información, deberá facilitarse de manera gradual sin dilación. Asimismo, deberá documentarse todo el proceso de cualquier violación de seguridad detallando así los hechos que tengan relación, sus efectos y medidas correctivas de manera que facilite a la AEPD verificar su cumplimiento.
Por otra parte, cuando la violación de seguridad pueda conllevar un alto riesgo para los derechos y libertades de las personas físicas, el responsable deberá comunicar al interesado la naturaleza de la violación, el nombre y apellidos del Delegado de Protección de Datos, las posibles consecuencias y las medidas adoptadas al respecto.
No obstante, no será necesario si se han adoptado las medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados o suponga un esfuerzo desproporcionado.
Por último, el incumplimiento del deber de notificación, además de ocasionar un grave perjuicio para las personas, puede acarrear multas administrativas de hasta 10 millones de euros.
