¿Qué es una violación de datos y qué tenemos que hacer en caso de violación de datos?
Respuesta
Una violación de datos se produce cuando los datos de los que es responsable su empresa/organización sufren un incidente de seguridad que da lugar a una violación de la confidencialidad, la disponibilidad o la integridad. Si esto ocurre, y es probable que la violación suponga un riesgo para los derechos y libertades de una persona, su empresa/organización tiene que notificar a la autoridad de control sin demora indebida, y a más tardar en las 72 horas siguientes a haber tenido conocimiento de la violación. Si su empresa/organización es un procesador de datos, debe notificar cada violación de datos al responsable del tratamiento.
Si la violación de datos supone un alto riesgo para los individuos afectados, entonces todos ellos también deben ser informados, a menos que haya medidas efectivas de protección técnica y organizativa que se hayan establecido, u otras medidas que garanticen que ya no es probable que el riesgo se materialice.
Como organización es vital aplicar las medidas técnicas y organizativas adecuadas para evitar posibles violaciones de datos.
Ejemplos
La organización debe notificar a la APD y a los individuos
Los datos de los empleados de una empresa textil han sido revelados. Los datos incluían las direcciones personales, la composición familiar, el salario mensual y las reclamaciones médicas de cada empleado. En este caso, la empresa textil debe informar a la autoridad de control de la violación. Como los datos personales incluyen datos sensibles, como los de salud, la empresa tiene que notificarlo también a los empleados.
Un empleado de un hospital decide copiar los datos de los pacientes en un CD y los publica en Internet. El hospital se entera unos días después. En cuanto el hospital lo descubre, tiene 72 horas para informar a la autoridad de control y, dado que los datos personales contienen información sensible, como si un paciente tiene cáncer, está embarazada, etc., tiene que informar también a los pacientes. En ese caso, habría dudas sobre si el hospital ha aplicado las medidas de protección técnicas y organizativas adecuadas. Si efectivamente ha implementado las medidas de protección adecuadas (por ejemplo, encriptando los datos), sería improbable que existiera un riesgo material y podría estar exento de notificar a los pacientes.
La empresa debe notificar a los clientes y estos pueden tener que notificar a la APD y a los particulares
Un servicio en la nube pierde varios discos duros que contienen datos personales pertenecientes a varios de sus clientes. Tiene que notificar a esos clientes tan pronto como tenga conocimiento de la violación. Sus clientes deben notificar a la APD y a los individuos en función de los datos que fueron tratados por el procesador de datos.