Una de las principales novedades del Reglamento General de Protección de Datos (RGPD) es la obligatoriedad que, desde ahora, tienen las empresas de informar a los organismos de control de violaciones a sus sistemas de seguridad que afecten la integridad y confiabilidad de los datos personales de sus clientes o personal.
Pero primero vamos a definir ¿qué son violaciones de seguridad?
En lenguaje corriente el término violación de seguridad y brecha de seguridad representan lo mismo. El RGPD incluye dentro de esta definición cualquier ataque o imprevisto que ocasione la desaparición, daño o alteración de datos o información personal previamente cedidos y utilizados para fines específicos. Así como el acceso y/o transmisión no autorizada de dichos datos de forma accidental o intencional, y la eliminación de uno o más registros de la base de datos de la organización, inclusive por su propio personal, cuando esta acción no haya sido aprobada y se considere una transgresión de la norma.
El procedimiento de control y notificación de las brechas de seguridad se trata de manera amplia en el RGPD, no sólo en la sección dedicada de forma exclusiva a este asunto, sino también en los segmentos relativos a la figura del Delegado de Protección de Datos o DPD y el Principio de Responsabilidad Proactiva, en ambos casos se refuerza la obligación de la empresa (del responsable, el encargado y el representante) de notificar oportunamente a las autoridades sobre las fallas en el protocolo de seguridad y la violación de los datos personales de los interesados.
El RGPD establece, en sus artículos 33 y 34, los procedimientos relativos a la notificación de las Autoridades y de las personas físicas afectadas.
Esta comunicación es obligación de todos los responsables del tratamiento de datos y no sólo de las empresas de telecomunicación y proveedores de servicio de internet, como solía ocurrir bajo la antigua Ley Orgánica de Protección de Datos o LOPD.
El responsable del tratamiento de datos debe:
- Notificar a la Autoridad competente de la brecha de seguridad de acuerdo con las políticas y normas internas establecidas en los protocolos de seguridad y de conformidad con el nuevo Reglamento.
- Llevar un registro de todos los incidentes de seguridad dentro de la organización y que ocurran bajo su responsabilidad.
- En caso de que la brecha suponga una amenaza directa a las libertades y derechos fundamentales de la persona; el responsable del tratamiento deberá cumplir con la notificación del interesado al igual que la de la Autoridad de Control y Supervisión de la Protección de Datos.
- El aviso a la persona afectada debe ser inmediato, a fin de que el interesado tome las medidas y precauciones necesarias para resguardar su seguridad e intereses personales de la mejor manera.
- El RGPD establece un plazo de 72 horas para la notificación.
¿Cuándo un incidente amerita la notificación?
- Si la brecha de seguridad puede causar daños emocionales, físico y/o financieros.
- Si el volumen o la naturaleza de los datos así lo exige.
- Si se trata de datos sensibles.
El Departamento de Protección de Datos de Globalpacta está a su disposición para analizar el grado de cumplimiento que su empresa tiene en materia de Protección de Datos y realizar en caso necesario, la implantación o las adaptaciones oportunas que aseguren su total cumplimiento.
Rellene el formulario de abajo y un representante de Globalpacta se pondrá en contacto con usted. Si lo prefiere, puede ponerse en contacto con nosotros a través de la siguiente dirección de correo electrónico: info@globalpacta.com o a través del teléfono de contacto +34 93 363 79 10.