Contacto
Una violación de seguridad de los datos es cualquier incidente de seguridad que conduce a la destrucción, pérdida, alteración, acceso o revelación no autorizada de datos personales, tanto si es de personas trabajadoras como de las personas a las que prestas servicios, como ciudadanía, pacientes, alumnado, etc. Si eres una entidad responsable del tratamiento y sufres una violación de seguridad, debes notificarla a la APDCAT sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde que hayas tenido constancia de ello. Esto, salvo que sea improbable que la violación constituya un riesgo (daño) para los derechos y libertades de las personas titulares de los datos comprometidos.
¿Cuándo debe notificarse?
Se considera que se tiene constancia de una violación de seguridad cuando existe una certeza que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que ha habido un fallo o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente las circunstancias no debe dar lugar a la notificación. En la mayoría de los casos, en estas condiciones no puede determinarse hasta qué punto puede existir un riesgo para los derechos y las libertades de las personas interesadas.
Sin embargo, en casos de violaciones que, por sus características, puedan tener un gran impacto, sí es recomendable contactar con la APDCAT tan pronto como haya evidencias de que se ha producido una situación irregular respecto a la seguridad de las datos, independientemente de que estos primeros contactos se completen después con una notificación formal dentro del plazo legalmente previsto.
Puede haber casos en los que la notificación de alguno de los aspectos requeridos no pueda realizarse dentro de las 72 horas, por ejemplo, debido a la complejidad a la hora de determinar completamente su alcance. En estos casos, la notificación de estos aspectos puede realizarse posteriormente, acompañada de una explicación de los motivos que han ocasionado el retraso.
¿Cuál es el contenido de la notificación de una violación de seguridad a la autoridad de control?
La notificación debe incluir un contenido mínimo que el propio RGPD establece y que incluye elementos como la naturaleza de la violación, las categorías de datos y de personas afectadas, las medidas adoptadas por la entidad responsable del tratamiento para solucionar la violación y, en su caso, las medidas aplicadas para paliar los posibles efectos negativos sobre las personas interesadas. La información también puede proporcionarse de forma escalonada, cuando no pueda realizarse en el mismo momento de la notificación.
¿Cuándo se debe documentar y cómo?
Con independencia de la notificación a las autoridades de control, las entidades responsables de tratar datos también deben documentar todas las violaciones de seguridad. Así, deben llevar a cabo un registro interno sobre los incidentes de seguridad que sufran.
¿Cuándo se debe comunicar a las personas afectadas?
Además de notificar la violación de seguridad a la APDCAT cuando sea probable que la violación comporte un alto riesgo (daños importantes o graves) para los derechos de las personas interesadas, la entidad responsable que trata los datos también debe comunicarla sin dilación indebida a las personas afectadas, con un lenguaje claro y sencillo.
¿Cuándo es probable que una violación de seguridad comporte un alto riesgo para los derechos de las personas interesadas?
Existe alto riesgo cuando sea probable que la violación de seguridad ocasione daños importantes a las personas interesadas. Esto puede suceder, por ejemplo, si se revela información confidencial, como contraseñas o la participación en determinadas actividades; si se difunden datos confidenciales de forma masiva o si se pueden producir perjuicios económicos para las personas afectadas.
El objetivo de esta comunicación es permitir que las personas afectadas puedan tomar medidas para protegerse de las consecuencias de la violación de seguridad. Se pretende que la persona afectada pueda reaccionar lo antes posible. Por eso, habrá que incluir las recomendaciones sobre las medidas que pueden tomar las personas interesadas para hacer frente a las consecuencias de la violación.
No será necesario llevar a cabo esta comunicación a las personas afectadas si:
- La entidad responsable ha adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.
- La entidad responsable ha aplicado medidas posteriores que garantizan que ya no existe la probabilidad de que se concrete el alto riesgo.
- Supone un esfuerzo desproporcionado. En este caso, se puede optar por una comunicación pública o una medida equivalente.
¿Cuál es el papel de las entidades encargadas del tratamiento?
Si la entidad responsable utiliza un encargado del tratamiento y este encargado sufre una violación de seguridad, debe informar al responsable sin dilación indebida, tan pronto como tenga conocimiento, para que la entidad responsable pueda cumplir con sus obligaciones de notificación. El contrato que regula el encargo debe estipular que el encargado debe ayudar al responsable a garantizar el cumplimiento de las obligaciones de notificación.
Documentos relacionados