Guia_violaciones_de_datos_1

Guía para hacer frente a una violación de datos – Parte 1

    Cuando se produce una violación de datos personales, se produce una brecha de seguridad, es un tema delicado en muchos aspectos, especialmente para las empresas.

    Además de la pérdida de imagen y confianza asociada, puede existir la obligación de informar de la violación de los datos a la autoridad de control de protección de datos competente o, en algunos casos, también se debe notificar a las personas afectadas por la violación de los datos. Además, puede amenazarse con la imposición de multas por parte de la autoridad supervisora de la protección de datos o con la presentación de reclamaciones por daños y perjuicios por parte de las personas afectadas por la violación de datos.

    Por estas razones, es importante que se reconozca la existencia de una violación de datos lo antes posible, que se compruebe la obligación de notificar la violación de datos y que se tomen las medidas correctas.

    ¿Cuándo es una violación de datos (notificable)?

    Se pueden utilizar varios criterios para comprobar si una violación de datos es notificable. Se explican a continuación.

    • Violación de datos personales

    Una violación de los datos personales se define legalmente en el artículo 4 nº 12 del RGPD como «una violación de la seguridad que provoque la destrucción, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales transmitidos, almacenados o tratados de otro modo, ya sea accidental o ilegalmente».

    Por supuesto, no todas las violaciones de datos son notificables. Debe tratarse de una brecha de seguridad en la que los datos personales se revelan ilegalmente a terceros, o se borran o se hacen temporalmente inaccesibles como resultado de una violación de la seguridad. Para que los datos personales sean divulgados ilegalmente, basta con que se acceda a ellos, intencionadamente o no. Sin embargo, no es necesario tomar nota del contenido.

    Los casos típicos de violación de datos son:

    • La pérdida de documentos que contengan datos personales (por ejemplo, documentos de personal),
    • El envío erróneo de documentos (por ejemplo, un empleado recibe la nómina de un compañero),
    • El robo de soportes de datos electrónicos (por ejemplo, el robo de un portátil o de un disco duro externo) o
    • Un ciberataque (por ejemplo, pirateo, troyano de encriptación).
    • Riesgo para los derechos y libertades de las personas físicas

    Además, para que se produzca una violación de datos notificable, debe existir un riesgo para los derechos y libertades de las personas físicas. El riesgo se mide por la relación entre la gravedad del daño y su probabilidad de ocurrencia. Cuanto mayor sea el daño presumible, menores serán los requisitos de probabilidad de que se produzca.

    El Grupo del Art. 29 establece los siguientes criterios a la hora de considerar el riesgo:

    • Tipo de fallo de seguridad (el acceso no autorizado suele ser más grave que la pérdida de datos).
    • Tipo y alcance de los datos
    • Identificabilidad (¿Qué tan fácil y probable es que un tercero que tenga acceso no autorizado establezca la referencia personal?)
    • Circunstancias especiales en relación con los interesados (por ejemplo, niños como interesados, necesidad especial de protección del interesado debido a discapacidades)
    • Circunstancias especiales con respecto a la persona responsable (por ejemplo, una institución médica)
    • Número de personas a las que se refieren los datos
    • Consecuencias previstas de la violación de datos

    En cuanto a las consecuencias, el considerando 85 del RGPD enumera grupos típicos de casos:

    • Pérdida de control sobre los propios datos
    • Restricción de derechos
    • Discriminación
    • Robo de identidad o fraude
    • Pérdidas financieras
    • Eliminación de la seudonimización
    • Daño a la reputación
    • Violación del secreto profesional
    • Otras desventajas económicas o sociales significativas

    ¿Cuándo se puede renunciar a la notificación de una violación de datos?

    En cuanto a la existencia de la obligación de notificación en caso de violación de los datos personales, es importante señalar que sólo puede asumirse con seguridad jurídica que no existe obligación de notificación si puede garantizarse que no hay riesgo para los derechos y libertades de los interesados, como en el caso del robo de una memoria USB en la que los datos personales almacenados en ella están debidamente codificados. Teniendo en cuenta que la falta de notificación de una violación de datos notificable de conformidad con el artículo 83, apartado 4, letra a) del RGPD puede dar lugar a una multa de hasta 10.000.000 de euros o hasta el 2% del volumen de negocios anual total realizado en todo el mundo, debe examinarse cuidadosamente la cuestión de la existencia de una exención de la obligación de notificación.

    Conclusión sobre la obligación de informar en caso de violación de datos

    La evaluación de si se ha producido una violación de datos notificable puede ser extremadamente difícil en casos individuales y, por lo tanto, debe realizarse con la ayuda de los expertos adecuados (por ejemplo, el responsable de la protección de datos o especialistas formados en la ley de protección de datos).

    ¿Qué precauciones se pueden tomar para evitar una violación de datos?

    Incluso en el caso de que se notifique a tiempo una violación de los datos, no se puede descartar que -debido a la violación ya existente de las obligaciones de protección de datos- la autoridad supervisora de la protección de datos imponga una multa. Además, las personas afectadas por la violación de los datos también pueden haber sufrido un daño, por el que el responsable del tratamiento puede ser responsable de pagar daños y perjuicios, por ejemplo, de conformidad con el artículo 82 del RGPD.

    Por lo tanto, es aún más importante tomar las medidas adecuadas por adelantado para minimizar o eliminar el riesgo de una violación de datos. Esto incluye, en particular, la formación periódica de los propios empleados en materia de legislación sobre protección de datos, así como la aplicación de las medidas técnicas y organizativas adecuadas, por ejemplo, el cifrado efectivo de los datos personales en los soportes de datos móviles.

    La parte responsable (por ejemplo, el propietario de la empresa) también debe asegurarse de que existe un proceso adecuado para tratar las violaciones de datos y de que los empleados lo conocen. Lo ideal es informar a los responsables (por ejemplo, el responsable de la protección de datos, el departamento jurídico, la dirección, etc.) en cuanto tengan conocimiento de una violación de datos en una empresa.

    En la segunda parte de nuestra guía sobre cómo hacer frente a las violaciones de datos, podrá leer mañana cómo proceder cuando tenga conocimiento de una violación de datos.

    Fecha

    SOLICITE INFORMACIÓN

    NOS PONDREMOS EN CONTACTO EN MENOS DE 24H.

    Más
    artículos

    Alisios Consultores

    Somos líderes en certificación, auditoría y evaluaciones en las áreas de calidad, medioambiente, seguridad alimentaria y salud en el trabajo.

    Certificación de Sistemas

    Cambio Climático - ODS

    Seguridad Alimentaria

    Oficinas en:

    Santa Cruz de Tenerife – Las Palmas de G.C. – Lanzarote – Madrid – Barcelona – Murcia – Zaragoza – País Vasco – Sevilla – Málaga – Valencia –  Mallorca – Salamanca

    ©2004-2025 – ALISIOS CONSULTORES®

    Protección de Datos | ISO 9001 | ISO 14001 | ISO 27001| ISO 45001 | ISO 22000 | Huella de Carbono | ENS | CompliancePlanes de Igualdad

    error: Contenido protegido!!