Notificación de violaciones de seguridad

Es un incidente que compromete la seguridad de sus datos personales, ya sea intencionado o involuntario. Si el incidente carece de afectación sobre los datos personales, no es una violación de seguridad de los datos.

No existe una lista definida, pero algunos ejemplos son:

• Transmisión de datos personales a un destinatario erróneo.
• Envío de correo electrónico sin copia oculta.
• Robo / pérdida de dispositivos móviles (portátiles, lápices de memoria, etc.).
• Encriptación de datos (ransomware).
• Robo de credenciales de correo electrónico.
• Fallo del sistema que causa falta de disponibilidad de los datos.
• Exposición pública de datos por error de configuración del sistema.
• Acceso no autorizado a la historia clínica de un paciente.
• Robo de documentación en papel.
• Exposición pública de datos por destrucción inadecuada de documentación en papel.

Cuando la violación puede acarrear perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados. Por ejemplo: pérdida de control sobre los datos, restricción de derechos de los titulares de los datos, discriminación, suplantación de identidad, pérdidas financieras, daño para la reputación, reversión no autorizada de la seudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.

La notificación permite que la Autoridad pueda indicar al responsable del tratamiento si ha gestionado la violación adecuadamente o, en caso contrario, requerirle las acciones necesarias para ello.

La falta de notificación implica el incumplimiento de una obligación establecida por el RGPD. Por tanto, puede conllevar una investigación y, en su caso, una sanción, además del daño para la reputación del responsable del tratamiento.

Si el retraso está justificado, no tiene ninguna consecuencia. Si la dilación no está justificada, puede constituir una infracción y, si procede, conllevar una sanción.

No ocurre nada. La notificación se tramita y, una vez se concluye que no ha habido una violación que sea obligatorio notificar, se cierra el expediente. De hecho, ante la duda es preferible realizar la notificación.

La normativa obliga al responsable del tratamiento. Si la violación la sufriera el encargado, lo comunicará inmediatamente al responsable para que este pueda cumplir con sus obligaciones; y esto incluye, en su caso, notificar la violación a la APDCAT.

Un encargado de tratamiento también puede notificar una violación en nombre del responsable, e incluso comunicarla a los afectados, si esto forma parte de los acuerdos contractuales. Sin embargo, la responsabilidad jurídica de notificarla y comunicarla a los afectados siempre recae en el responsable.

Se comunicará cuando haya un alto riesgo para sus derechos y libertades (probabilidad de que la violación de seguridad ocasione daños importantes a los interesados). Esto significa que se evaluarán la probabilidad y la gravedad de las consecuencias que la violación tiene para las personas afectadas. Por ejemplo, se puede tener en cuenta si:

• puede producir perjuicios económicos
• ha afectado a datos sensibles
• puede provocar una suplantación de identidad
• permite acceder a más información personal de los afectados (si se han obtenido contraseñas, por ejemplo)
• afecta a colectivos vulnerables

Se puede hacer una comunicación pública, por ejemplo en la web de la entidad o en los medios de comunicación. Esta comunicación debe contener, igualmente, toda la información obligatoria.

Para que las personas afectadas puedan tomar medidas para protegerse de los efectos dañinos de la violación.

Se realiza una notificación inicial en el plazo de 72 horas. Una vez hechas todas las averiguaciones y cuando se dispone de más información, es necesario presentar la notificación complementaria sin más dilación.