Contacto
Es un incidente que compromete la seguridad de los datos personales, ya sea intencionado o involuntario. Si el incidente no tiene afectación sobre los datos personales, no es una violación de seguridad de los datos.
No hay una lista definida, pero algunos ejemplos son:
- Envío de datos personales a un destinatario erróneo.
- Envío de correo electrónico sin copia oculta.
- Robo o pérdida de dispositivos móviles (portátiles, lápiz de memoria, etc.).
- Encriptación de datos (ransomware).
- Robo de credenciales de correo electrónico.
- Fallo del sistema que causa falta de disponibilidad de los datos.
- Exposición pública de datos por error de configuración del sistema.
- Acceso no autorizado a la historia clínica de un paciente.
- Robo de documentación en papel.
- Exposición pública de datos por destrucción inadecuada de documentación en papel.
Cuando la violación puede conllevar perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados. Por ejemplo: pérdida de control sobre los datos, restricción de derechos de los titulares de los datos, discriminación, suplantación de identidad, pérdidas financieras, daño para la reputación, reversión no autorizada de la seudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.
La notificación permite que la Autoridad pueda indicar al responsable del tratamiento si ha gestionado la violación adecuadamente o, de lo contrario, requerirle las acciones necesarias para hacerlo.
La falta de notificación implica el incumplimiento de una obligación establecida por el RGPD. Por lo tanto, podrá conllevar una investigación y, si procede, una sanción, además del daño para la reputación del responsable del tratamiento.
Si el retraso está justificado, no tiene ninguna consecuencia. Si la dilación no está justificada, puede constituir una infracción y, si procede, conllevar una sanción.
No pasa nada. La notificación se tramita y, una vez se concluye que no ha habido una violación que sea obligatorio notificar, se cierra el expediente. De hecho, ante la duda es preferible hacer la notificación.
La normativa obliga el responsable del tractament. Si la violació la pateix l’encarregat, ho ha de comunicar immediatament al responsable perquè aquest pugui complir amb les seves obligacions; i això inclou, si escau, notificar la violació a l’APDCAT.
Un encarregat de tractament també pot notificar una violació en nom del responsable, i fins i tot comunicar-la als afectats, si això forma part dels acords contractuals. Això no obstant, la responsabilitat jurídica de notificar-la i comunicar-la als afectats sempre recau en el responsable.
Se comunicará cuando haya un alto riesgo para sus derechos y libertades (probabilidad de que la violación de seguridad ocasione daños importantes a los interesados). Esto significa que se evaluarán la probabilidad y la gravedad de las consecuencias que la violación tiene para las personas afectadas. Por ejemplo, se puede tener en cuenta si:
- puede producir perjuicios económicos
- ha afectado a datos sensibles
- puede provocar una suplantación de identidad
- permite acceder a más información personal de los afectados (si se han obtenido contraseñas, por ejemplo)
- afecta a colectivos vulnerables
Se podrá hacer una comunicación pública, por ejemplo, en la web de la entidad o en los medios de comunicación. Esta comunicación contendrá, igualmente, toda la información obligatoria.
Para que las personas afectadas puedan tomar medidas para protegerse de los efectos perjudiciales de la violación.
Se hará una notificación inicial en el plazo de 72 horas. Una vez hechas todas las averiguaciones y se dispone de más información, se presentará la notificación complementaria sin más dilación.