Bajo el ya no tan nuevo Reglamento General de Protección de Datos, cualquier violación de la seguridad que ponga en peligro los datos debe ser reportado en cuestión de horas. Si no se hace así, las sanciones pueden ser enormes, y por ello las organizaciones deben tener muy presente tanto la normativa como el plan de acción a llevar a cabo de manera inmediata.
Además, se hace imperativo que dicha actuación comience con la detección temprana de los fallos de seguridad, por lo que la anticipación y la planificación deben ser, también, excelentes. Para saber qué hacer en caso de una violación de seguridad, y para tener claro qué priorizar a la hora de reportar, aquí os presentamos una pequeña guía sencilla que no os debéis perder.
Para empezar, los artículos del RGPD que se refieren a esta cuestión son el 33 y el 34. El artículo 33 se refiere a la notificación de una violación de la seguridad de los datos personales a la autoridad de control, mientras que el artículo 34 se refiere a la notificación al propio interesado —al propietario de esos datos comprometidos—.
La normativa establece que no puede haber dilación indebida y que, de ser posible, debe notificarse el suceso a más tardar 72 horas después de que se haya tenido constancia. La excepción es que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
En el caso de la notificación especificada en el artículo 34, no se especifica lapso alguno, pero se establece que: «Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida». Esto significa que ha de notificarse inmediatamente, una vez comprobado el alcance del riesgo mencionado.
Cuándo, dónde y qué reportar ante una violación de seguridad bajo el RGPD
Como acabamos de ver, es importante saber cuándo hemos de notificar un fallo en la seguridad. No siempre será necesario, básicamente porque se establece que debe haber un riesgo claro de vulneración de derechos y libertades. Sin embargo, podemos ver unos ejemplos en los que sí aplicaría enviar el reporte:
- El robo o pérdida de una base de datos de cliente.
- Si la única copia de un conjunto de datos personales ha sido secuestrada por ransomware, por ejemplo.
- Si se borran los datos por accidente o por una persona no autorizada para ello.
- Si datos críticos están temporalmente inaccesibles por un ataque DDoS, por ejemplo, en un hospital.
Todos estos casos suponen un gran riesgo personal para los propietarios de dichos datos y, por tanto, han de ser notificados a la autoridad competente y al propietario de los datos.
Una vez establecido que es necesario enviar el reporte de la violación de datos, es necesario contactar con la Autoridad de Protección de Datos —DPA— adecuada. Esto depende del nivel al que opera la compañía: si solo lo hace en un país, o si toda la recopilación de datos, el procesamiento y la toma de decisiones en torno a esos datos se realiza a nivel local, tan solo es necesario avisar a la DPA local.
Si la actividad involucra a más de un país, ha de informarse a la DPA del país en el que se toman las decisiones acerca de los datos. Si dichas decisiones se toman en más de un país —por ejemplo, si tomamos decisiones en el país A sobre los datos relacionados con el personal, pero en el país B acerca de los datos de clientes—, hay que notificar a ambas DPA.
¿Qué debo hacer si detecto un fallo en #seguridad que pueda poner en peligro #datos personales? Clic para tuitearPor último, hay que saber qué hemos de informar. Como mínimo, serán estos puntos:
- El momento exacto en que sucedió el incidente.
- Cuándo y cómo se descubrió.
- Categorías de datos personales incluidas en el incumplimiento.
- Importancia de la pérdida robo o filtración tanto en términos de registros perdidos como de personas afectadas.
- Posible impacto en los sujetos de datos como resultado de la violación.
- Impacto en la capacidad de la organización para proporcionar servicios a los usuarios.
- Tiempo de recuperación estimado.
- Si los ciudadanos afectados han sido informados.
- Acciones que la compañía está tomando o tomará para remediar y prevenir un incidente de este tipo en el futuro.
Con esta miniguía básica tendremos toda la información a mano para, en caso de sufrir un incidente relacionado con los datos, poder resolverlo de la mejor manera, en el menor tiempo posible.
Deja tu comentario sobre "Cómo reportar una violación de los datos según el RGPD"