Las notificaciones de violaciones de seguridad en el nuevo reglamento europeo de protección de datos



El control de los sistemas de información debería ser un pilar básico en toda empresa, una vez que la falta de monitorización del funcionamiento de las actividades de la entidad puede presuponer un daño tanto material cuanto inmaterial a la misma.

El nuevo reglamento europeo de protección de datos establece en su art. 33 la notificación de violación de la seguridad de los datos personales a la autoridad de control. Se trata de una de las medidas de responsabilidad activa acogidas por el nuevo reglamento.


¿Pero que sería considerado como una violación de seguridad?


Las violaciones o “quiebras de seguridad” son los incidentes que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad.

¿Qué acciones deben ser tomadas por el responsable del tratamiento y/o encargados de los ficheros?

De acuerdo con el art. 33. 1: “el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.”


En las hipótesis de que la notificación no pueda realizarse dentro de esas 72 horas. Será posible hacer la notificación con posterioridad, desde que se acompañe de un esclarecimiento de los motivos que han producido la dilación.

La notificación deberá como mínimo contener la naturaleza de la violación, las categorías de datos y de interesados afectados, las medidas adoptadas por el responsable para solventar la quiebra, y si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Todas las violaciones de seguridad deberán ser documentadas por el responsable del fichero o en su caso el encargado del tratamiento.

¿La cuestión de los fallos de seguridad puede ser considerada como una auto inculpación?

Bajo mi punto de vista, la violación de datos personales no es auto inculparse. Si el responsable ha cumplido con una serie de requisitos, entre ellos las medidas de seguridad, lo único que está haciendo es protegiendo al interesado, al titular del dato. Es una garantía para el interesado y para la entidad.

Entradas destacadas
Entradas recientes
Archivo
Buscar por tags
Síguenos
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

© 2017. Edora Consulting. Todos los derechos reservados 

  • LinkedIn Social Icon
  • Wix Facebook page
  • Wix Twitter page

+34 981 92 44 04

info@edora.es