Contenidos de la página

Respuesta

Una violación de la seguridad de los datos se produce cuando los datos de los que ustedes son responsables sufren un incidente de seguridad que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos. Si esto ocurre, y es posible que la violación ponga en riesgo los derechos y libertades de una persona, deberán notificar a la autoridad de control sin demora y a más tardar 72 horas después de que hayan tenido constancia de ello. Si es un encargado del tratamiento deberá notificar cada violación de la seguridad de los datos al responsable del tratamiento.

Si la violación de la seguridad de los datos supone un alto riesgo para las personas afectadas, estas también deberán ser informadas (a menos que se hayan aplicado medidas de protección técnicas y organizativas efectivas, u otras medidas que garanticen que ya no existe la probabilidad de que se concretice el riesgo).

Como organización, resulta vital aplicar las medidas técnicas y organizativas apropiadas con el fin de evitar posibles violaciones de la seguridad de los datos.

Ejemplos

La organización debe notificar a la autoridad de protección de datos (APD) y a las personas
Los datos de los empleados de una empresa textil se han revelado. Los datos incluyen las direcciones personales, la composición de la familia, el sueldo mensual y los gastos médicos de cada empleado. En este caso, la empresa textil debe informar a la autoridad de control de la violación de la seguridad. Dado que incluyen datos personales sensibles, como los datos sanitarios, la empresa también debe notificarlo a los empleados.

Un empleado de un hospital decide copiar la información de los pacientes en un CD y la publica en internet. El hospital se da cuenta unos días más tarde. En cuanto el hospital se da cuenta, tiene 72 horas para informar a la autoridad de control y, como la información personal contiene información sensible, como si un paciente tiene cáncer, una paciente está embarazada, etc., también debe informar a los pacientes. En este caso, no está claro si el hospital ha aplicado las medidas de protección técnicas y organizativas apropiadas; si hubiera aplicado las medidas de protección apropiadas (como el cifrado de los datos), no existiría la probabilidad de que se concretizara el riesgo y podría quedar exento de notificarlo a los pacientes.

La empresa debe notificar a los clientes y después puede tener que notificar a la APD y las personas
Un servicio en la nube pierde varios discos duros con datos personales de varios de sus clientes, por lo que debe notificar a estos clientes en cuanto tenga conocimiento de la violación de la seguridad. Sus clientes deberán notificar a la APD y las personas en función de los datos que fueron tratados por el encargado del tratamiento.

Referencias

  • Grupo de trabajo del artículo 29, WP 250. Directrices sobre notificación de las violaciones de seguridad de los datos personales de acuerdo con el Reglamento (UE) 2016/679, 3 de octubre de 2017

  • Artículo 4, apartado 12, y artículos 33 y 34; considerandos 85, 86, 87 y 88