La importancia de notificar una violación de datos personales

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

La importancia de notificar una violación de datos personales

La importancia de notificar una violación de datos personales

violación de datos

Violación de datos

Uno de los elementos clave en el reglamento general de protección de datos es contar con las pautas a seguir a la hora de establecer la documentación adecuada para realizar la notificación de una violación de datos personales en el caso de que se produzca. Además, es necesario demostrar el cumplimiento de la nueva normativa europea.

¿Qué es una violación de datos?

Una violación de datos de los datos personales incluye cualquier brecha de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de información personal, así como la comunicación o acceso no autorizados a los mismos.

Si los datos permiten realizar la identificación directa o indirecta de las personas físicas, dicha actividad de tratamiento se encuentra sujeta al reglamento general de protección de datos. Por lo tanto, si se sufre una violación de datos sobre esa información deberá realizarse una notificación a la autoridad de control correspondiente.

Si la violación de datos constituye un riesgo para los derechos y las libertades de las personas físicas, el responsable del tratamiento tendrá que comunicárselo a los interesados.

¿Quién y cuándo debe informar?

La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el responsable.

Además, la información se deberá poner a disposición de los interesados en el momento en el que soliciten los datos, previamente a la recogida o registro, si es que se obtienen directamente del interesado.

En el caso de que los datos no se obtengan del propio interesado, el responsable informará a las personas interesadas dentro de un plazo razonable, pero, en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales
  • En la primera comunicación con el interesado
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

 

La obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de información ha sido satisfecha.

Una violación de datos de datos personales deberá ser notificada a la autoridad de control correspondiente cuando constituya un riesgo para los derechos y las libertades de las personas físicas. Ahora bien, si dicha violación de datos entraña un alto riesgo para los derechos y las libertades del interesado, el responsable del tratamiento deberá comunicarlas al interesado.

Los encargados del tratamiento que sufren una violación de datos deben notificarla al responsable del tratamiento sin dilación. Dicho responsable es quien tendrá la obligación de comunicarla a la autoridad de control, y a los interesados si fuera necesario.

Una violación de información de los datos personales, incluye cualquier tipo de violación de esa información que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Los datos de prueba incluyen información que permite identificar a las personas físicas, esa actividad de tratamiento se encuentra sujeta al reglamento general de protección de datos, y por lo tanto una supuesta violación de datos que afecte a esos datos deberá ser notificada a la autoridad de control, y en su caso a los interesados, siempre y cuando se den las condiciones mencionadas anteriormente. Esto también afecta a las violaciones de seguridad que afecten de forma indirecta a los datos de prueba.

El reglamento general de protección de datos no prescribe la forma en la que deben producirse las notificaciones sobre violaciones de seguridad. Forma parte de la responsabilidad de cada empresa el desarrollar sus propias políticas internas con el fin de gobernar cómo debería de ser dicho a los interesados en caso de violaciones de seguridad que necesiten ser notificadas.

A la hora de notificar a los interesados una violación de datos, es imperativo incluir la siguiente información de forma clara y sencilla:

  • La naturaleza de la violación de datos de los datos personales;
  • El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  • Las posibles consecuencias de la violación de la seguridad;
  • Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

En situaciones en las que más de un interesado se ha visto afectado por una violación de datos, una comunicación de índole pública podría considerarse como un medio apropiado para dicha notificación.

En lo que se refiere a notificaciones de autoridad de control, se ha establecido un canal para la notificación de quiebras de seguridad en el ámbito de las comunicaciones electrónicas. Dicho canas se adaptará a la notificación de violaciones de seguridad en el marco del reglamento general de protección de datos.

Software ISO 27001

El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...