U na violación de la seguridad de los datos se produce cuando los datos de los que ustedes son responsables sufren un incidente de seguridad que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos. Si esto ocurre, y es posible que la violación ponga en riesgo los derechos y libertades de una persona, deberán notificar a la autoridad de control sin demora y a más tardar 72 horas después de que hayan tenido constancia de ello. Si es un encargado del tratamiento deberá notificar cada violación de la seguridad de los datos al responsable del tratamiento.
Si la violación de la seguridad de los datos supone un alto riesgo para las personas afectadas, estas también deberán ser informadas (a menos que se hayan aplicado medidas de protección técnicas y organizativas efectivas, u otras medidas que garanticen que ya no existe la probabilidad de que se concretice el riesgo).
Como organización, resulta vital aplicar las medidas técnicas y organizativas apropiadas con el fin de evitar posibles violaciones de la seguridad de los datos.
Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado.
Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento
L a organización debe notificar a la autoridad de protección de datos (APD) y a las personas
Los datos de los empleados de una empresa textil se han revelado. Los datos incluyen las direcciones personales, la composición de la familia, el sueldo mensual y los gastos médicos de cada empleado. En este caso, la empresa textil debe informar a la autoridad de control de la violación de la seguridad. Dado que incluyen datos personales sensibles, como los datos sanitarios, la empresa también debe notificarlo a los empleados.
Un empleado de un hospital decide copiar la información de los pacientes en un CD y la publica en internet. El hospital se da cuenta unos días más tarde. En cuanto el hospital se da cuenta, tiene 72 horas para informar a la autoridad de control y, como la información personal contiene información sensible, como si un paciente tiene cáncer, una paciente está embarazada, etc., también debe informar a los pacientes. En este caso, no está claro si el hospital ha aplicado las medidas de protección técnicas y organizativas apropiadas; si hubiera aplicado las medidas de protección apropiadas (como el cifrado de los datos), no existiría la probabilidad de que se concretizara el riesgo y podría quedar exento de notificarlo a los pacientes.
L a empresa debe notificar a los clientes y después puede tener que notificar a la APD y las personas
Un servicio en la nube pierde varios discos duros con datos personales de varios de sus clientes, por lo que debe notificar a estos clientes en cuanto tenga conocimiento de la violación de la seguridad. Sus clientes deberán notificar a la APD y las personas en función de los datos que fueron tratados por el encargado del tratamiento.
Referencia
-
Artículo 4, apartado 12, dice textualmente «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.
Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.
El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.
Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.
