Una violación de datos personales significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales no autorizados o ilegales. Esto incluye brechas que son el resultado de causas accidentales y deliberadas. También significa que una violación es más que solo perder datos personales.
Ejemplos de
violaciones de datos personales pueden incluir:
* acceso por un tercero no autorizado;
* acción (o inacción) deliberada o accidental por parte de un controlador o procesador;
* enviar datos personales a un destinatario incorrecto;
* dispositivos informáticos que contienen datos personales que se pierden o son robados;
* alteración de datos personales sin permiso; y
* pérdida de disponibilidad de datos personales.
Una violación de datos personales puede definirse en términos generales como un incidente de seguridad que ha afectado la confidencialidad, integridad o disponibilidad de los datos personales. En resumen, se producirá una violación de datos personales cada vez que se pierdan, destruyan, corrompan o divulguen datos personales; si alguien accede a los datos o los pasa sin la debida autorización; o si los datos no están disponibles, por ejemplo, cuando han sido cifrados por ransomware, o se han perdido o destruido accidentalmente.
El considerando 87 de RGDP EU deja claro que cuando se produce un incidente de seguridad, debe establecer rápidamente si se ha producido una violación de datos personales y, si es así, tomar medidas para solucionarlo, incluido informar a la ICO si es necesario.
Cuando se produce una violación de datos personales, debe establecer la probabilidad y la gravedad del riesgo resultante para los derechos y libertades de las personas. Si es probable que exista un riesgo, debe notificarlo al ICO; Si es poco probable, entonces no tienes que reportarlo. Sin embargo, si decide que no necesita denunciar el incumplimiento, debe poder justificar esta decisión, por lo que debe documentarla.
Al evaluar el riesgo para los derechos y libertades, es importante centrarse en las posibles consecuencias negativas para las personas. El considerando 85 del RGDP EU explica que:
“Una violación de datos personales puede, si no se aborda de manera adecuada y oportuna, causar daños físicos, materiales o no materiales a personas físicas, como la pérdida de control sobre sus datos personales o la limitación de sus derechos, discriminación, robo de identidad o "fraude, pérdida financiera, revocación no autorizada de seudonimización, daño a la reputación, pérdida de confidencialidad de los datos personales protegidos por el secreto profesional o cualquier otra desventaja económica o social importante para la persona física en cuestión".
Esto significa que una violación puede tener una variedad de efectos adversos en las personas, que incluyen angustia emocional y daños físicos y materiales. Algunas violaciones de datos personales no conllevarán riesgos más allá de los posibles inconvenientes para quienes necesitan la información para realizar su trabajo. Otras infracciones pueden afectar significativamente a las personas cuyos datos personales han sido comprometidos. Necesita evaluar este caso por caso, considerando todos los factores relevantes.
Por Ejemplo
El robo de una base de datos de clientes, cuyos datos pueden usarse para cometer un fraude de identidad, debería ser notificado, dado el impacto que esto probablemente tendrá en aquellas personas que podrían sufrir pérdidas financieras u otras consecuencias. Por otro lado, normalmente no tendría que notificar a la OIC, por ejemplo, sobre la pérdida o alteración inapropiada de una lista de teléfonos del personal.
Por lo tanto, al tomar conciencia de una infracción, debe tratar de contenerla y evaluar las posibles consecuencias adversas para las personas, en función de cuán graves o sustanciales sean y de la probabilidad de que ocurran.
Para obtener más detalles sobre la evaluación del riesgo, consulte la sección IV de las directrices del Grupo de Trabajo del Artículo 29 (WP29) sobre la notificación de violación de datos personales. WP29 ha sido reemplazado por el Consejo Europeo de Protección de Datos (EDPB) que ha respaldado estas directrices.
Si su organización utiliza un procesador de datos, y este procesador sufre una infracción, entonces, de conformidad con el Artículo 33 (2), debe informarle sin demora indebida tan pronto como tenga conocimiento.
Por Ejemplo
Su organización (el controlador) contrata a una empresa de servicios de TI (el procesador) para archivar y almacenar registros de clientes. La empresa de TI detecta un ataque en su red que resulta en el acceso ilegal a datos personales sobre sus clientes. Como se trata de una violación de datos personales, la empresa de TI le notifica de inmediato que se ha producido la violación. Usted a su vez notifica a la OIC.
Este requisito le permite tomar medidas para solucionar el incumplimiento y cumplir con sus obligaciones de notificación de incumplimiento en virtud del RGDP EU.
Si utiliza un procesador, los requisitos sobre el informe de incumplimiento se deben detallar en el contrato entre usted y su procesador, según lo estipulado en el Artículo 28. Para obtener más detalles sobre los contratos, consulte nuestra guía preliminar de RGDP EU sobre contratos y responsabilidades entre controladores y procesadores.
Debe informar una infracción notificable a la OIC sin demoras indebidas, pero no más tarde de 72 horas después de haberlo tenido en cuenta. Si demora más que esto, debe explicar los motivos de la demora.
La Sección II de las Pautas del WP29 sobre notificación de violación de datos personales brinda más detalles sobre cuándo se puede considerar que un controlador “se percata” de una violación.
¿Qué información debe contener una notificación de incumplimiento a la autoridad supervisora?
Cuando se informa de una violación, el RGDP EU dice que debe proporcionar:
* una descripción de la naturaleza de la violación de datos personales que incluye, cuando sea posible:
* las categorías y el número aproximado de personas involucradas; y
* las categorías y el número aproximado de registros de datos personales en cuestión;
* el nombre y los datos de contacto del responsable de protección de datos (si su organización tiene uno) u otro punto de contacto donde se puede obtener más información;
* una descripción de las posibles consecuencias de la violación de datos personales; y
* una descripción de las medidas tomadas, o propuestas para ser tomadas, para hacer frente a la violación de datos personales, incluyendo, cuando corresponda, las medidas tomadas para mitigar cualquier posible efecto adverso.
El RGDP EU reconoce que no siempre será posible investigar una infracción por completo dentro de las 72 horas para comprender exactamente qué ha ocurrido y qué se debe hacer para mitigarla. Por lo tanto, el Artículo 33 (4) le permite proporcionar la información requerida en fases, siempre y cuando esto se haga sin demora adicional.
Sin embargo, esperamos que los controladores prioricen la investigación, le den los recursos adecuados y la agilicen con urgencia. Todavía debe notificarnos de la infracción cuando se dé cuenta de ello y enviar información adicional lo antes posible. Si sabe que no podrá proporcionar detalles completos en un plazo de 72 horas, es una buena idea explicarnos la demora e informarnos cuándo espera presentar más información.
Por Ejemplo >
Detecta una intrusión en su red y se da cuenta de que se ha accedido a archivos que contienen datos personales, pero no sabe cómo ingresó el atacante, en qué medida se accedió a esos datos o si el atacante también copió los datos de su red. sistema.
Usted notifica al ICO dentro de las 72 horas de haberse dado cuenta de la infracción, explicando que aún no tiene todos los detalles relevantes, pero que espera tener los resultados de su investigación dentro de unos días. Una vez que su investigación descubre detalles sobre el incidente, le da al ICO más información sobre el incumplimiento sin demora.
El RGDP EU reconoce que no siempre será posible investigar una infracción por completo dentro de las 72 horas para comprender exactamente qué ha ocurrido y qué se debe hacer para mitigarla. Por lo tanto, el Artículo 33 (4) le permite proporcionar la información requerida en fases, siempre y cuando esto se haga sin demora adicional.
Sin embargo, esperamos que los controladores prioricen la investigación, le den los recursos adecuados y la agilicen con urgencia. Todavía debe notificarnos de la infracción cuando se dé cuenta de ello y enviar información adicional lo antes posible. Si sabe que no podrá proporcionar detalles completos en un plazo de 72 horas, es una buena idea explicarnos la demora e informarnos cuándo espera presentar más información.
Por Ejemplo
Detecta una intrusión en su red y se da cuenta de que se ha accedido a archivos que contienen datos personales, pero no sabe cómo ingresó el atacante, en qué medida se accedió a esos datos o si el atacante también copió los datos de su red. sistema.
Usted notifica al ICO dentro de las 72 horas de haberse dado cuenta de la infracción, explicando que aún no tiene todos los detalles relevantes, pero que espera tener los resultados de su investigación dentro de unos días. Una vez que su investigación descubre detalles sobre el incidente, le da al ICO más información sobre el incumplimiento sin demora.
Para notificar al "Supervisory Authority" de una violación de datos personales, consulte nuestras páginas sobre cómo informar una violación.
Recuerde, en el caso de una infracción que afecte a personas en diferentes países de la UE, la OIC puede no ser la autoridad supervisora ??principal. Esto significa que, como parte de su plan de respuesta a la infracción, debe establecer qué agencia europea de protección de datos sería su autoridad de supervisión principal para las actividades de procesamiento que han sido objeto de la infracción. Para obtener más orientación sobre cómo determinar quién es su autoridad principal, consulte la guía WP29 sobre la identificación de su autoridad principal, que ha sido aprobada por el EDPB.
Si es probable que una violación conlleve un alto riesgo para los derechos y libertades de las personas, el RGDP EU dice que debe informar a las personas involucradas directamente y sin demoras indebidas. En otras palabras, esto debería ocurrir tan pronto como sea posible.
Un 'alto riesgo' significa que el umbral para informar a las personas es más alto que para notificar a la ICO. Una vez más, deberá evaluar la gravedad del impacto potencial o real en los individuos como resultado de una infracción y la probabilidad de que esto ocurra. Si el impacto de la violación es más grave, el riesgo es mayor; Si la probabilidad de las consecuencias es mayor, entonces nuevamente el riesgo es mayor. En tales casos, deberá informar con prontitud a los afectados, especialmente si existe la necesidad de mitigar un riesgo inmediato de daño para ellos. Una de las razones principales para informar a las personas es ayudarlos a tomar medidas para protegerse de los efectos de una violación.
Por Ejemplo:
Un hospital sufre una violación que resulta en una divulgación accidental de los registros de pacientes. Es probable que haya un impacto significativo en los individuos afectados debido a la sensibilidad de los datos y sus detalles médicos confidenciales que son conocidos por otros. Es probable que esto conlleve un alto riesgo para sus derechos y libertades, por lo que deberían ser informados sobre la violación.
Una universidad experimenta una violación cuando un miembro del personal borra accidentalmente un registro de datos de contacto de exalumnos. Los detalles se vuelven a crear a partir de una copia de seguridad. Es poco probable que esto suponga un alto riesgo para los derechos y libertades de esas personas. No necesitan ser informados sobre el incumplimiento.
Si decide no notificar a las personas, todavía deberá notificar a la OIC a menos que pueda demostrar que es poco probable que la violación genere un riesgo para los derechos y libertades. También debe recordar que el ICO tiene el poder de obligarlo a informar a las personas afectadas si consideramos que existe un alto riesgo. En cualquier caso, debe documentar su proceso de toma de decisiones de acuerdo con los requisitos del principio de responsabilidad.
Debe describir, en un lenguaje claro y sencillo, la naturaleza de la violación de datos personales y, al menos:
* el nombre y los datos de contacto de su oficial de protección de datos (si su organización tiene uno) u otro punto de contacto donde se puede obtener más información adquirido;
* una descripción de las posibles consecuencias de la violación de datos personales; y
* una descripción de las medidas tomadas, o propuestas para ser tomadas, para hacer frente a la violación de datos personales e incluyendo, cuando corresponda, de las medidas tomadas para mitigar cualquier posible efecto adverso.
Debe asegurarse de registrar todas las infracciones, independientemente de si deben o no ser informadas al "Supervisory Authority".
El Artículo 33 (5) requiere que usted documente los hechos relacionados con el incumplimiento, sus efectos y las medidas correctivas tomadas. Esto forma parte de su obligación general de cumplir con el principio de responsabilidad, y nos permite verificar el cumplimiento de su organización con sus deberes de notificación bajo el RGDP EU.
Al igual que con cualquier incidente de seguridad, debe investigar si la violación fue o no un resultado de un error humano o un problema sistémico y ver cómo se puede prevenir una recurrencia, ya sea a través de mejores procesos, capacitación adicional u otros pasos correctivos.
Los siguientes no son requisitos específicos de RGDP EU, pero es posible que deba tenerlos en cuenta cuando haya experimentado una violación.
Es importante tener en cuenta que puede tener obligaciones de notificación adicionales en virtud de otras leyes si experimenta una violación de datos personales. Por ejemplo:
si usted es un proveedor de servicios de comunicaciones, debe notificar al ICO cualquier violación de datos personales dentro de las 24 horas en virtud del Reglamento de privacidad y comunicaciones electrónicas (PECR). Debe utilizar nuestro formulario de notificación de incumplimiento de PECR, en lugar del proceso RGDP EU. Por favor, consulte nuestras páginas en PECR para más detalles.
Si usted es un proveedor de servicios de confianza del Reino Unido, debe notificar a la OIC una infracción de seguridad, que puede incluir una violación de datos personales, dentro de las 24 horas del Reglamento de identificación electrónica y servicios de confianza (eIDAS). Si esto incluye una violación de datos personales, puede utilizar nuestro formulario de notificación de violaciones de eIDAS o el proceso de notificación de violaciones de RGDP EU. Sin embargo, si nos lo informa bajo el RGDP EU, esto todavía debe hacerse dentro de las 24 horas. Por favor, lea nuestra Guía de eIDAS para más información.
Si su organización es un operador de servicios esenciales o un proveedor de servicios digitales, tendrá obligaciones de notificación de incidentes conforme a la Directiva NIS. Estos son independientes de la notificación de violación de datos personales bajo el RGDP EU. Si sufre un incidente que también es una violación de datos personales, todavía deberá informarlo al ICO por separado y debe usar el proceso RGDP EU para hacerlo.
También es posible que deba considerar notificar a terceros, como la policía, las aseguradoras, los organismos profesionales o las compañías bancarias o de tarjetas de crédito que pueden ayudar a reducir el riesgo de pérdida financiera para las personas.
El EDPR, que ha reemplazado al WP29, puede emitir pautas, recomendaciones y consejos de mejores prácticas que pueden incluir más orientación sobre violaciones de datos personales. Usted debe mirar hacia fuera para cualquier orientación futura. Asimismo, debe tener en cuenta cualquier recomendación emitida según los códigos de conducta relevantes o los requisitos específicos del sector a los que su organización puede estar sujeta.
No notificar una infracción cuando sea requerido puede resultar en una multa significativa de hasta 10 millones de euros o el 2 por ciento de su facturación global. La multa puede combinarse con las otras facultades correctivas del ICO en virtud del Artículo 58. Por lo tanto, es importante asegurarse de que se cuenta con un sólido proceso de notificación de violaciones para garantizar que detecte y pueda notificar una infracción a tiempo. y proporcionar los detalles necesarios.