Una de las obligaciones que debes tomar en consideración con la entrada del nuevo Reglamento de Protección de Datos es la necesidad de proteger todos los datos personales de terceras personas que tengas en tu poder. En Gesprodat somos conscientes de la importancia de comunicar una violación de seguridad, y vamos a hablarte sobre ello.
Qué es una notificación de violación de seguridad
Si aún no sabes qué es una violación de seguridad, ten en cuenta que se puede definir como cualquier tipo de acción en materia de datos de carácter personal que provoque la pérdida o alteración de algún dato, así como una comunicación a terceros no autorizada.
Existen muchas acciones que pueden provocar una violación de seguridad y protección de datos. Por ejemplo, si pierdes o te roban un dispositivo móvil inteligente, entran en la base de datos de tu organización de forma no autorizada, o existe cualquier tipo de fuga de información.
Es muy importante tomarse este tipo de asuntos muy en serio. Por ello, cuando se detecte un acto de este tipo será necesario notificar al responsable del departamento o del área correspondiente para que active los protocolos que sean pertinentes. En este tipo de ámbitos, la rapidez es fundamental para minimizar los posibles daños. Por ello, es recomendable iniciar las acciones correspondientes en un plazo máximo de 72 horas.
Procedimiento de notificación de una brecha
Cuando te encuentres ante una brecha de seguridad, es importante que sigas el procedimiento que exponemos a continuación para asegurarte de actuar correctamente:
– Valorar el riesgo: primero de todo, hay que determinar cuál es el alcance de la pérdida o el robo del dato correspondiente y como afectará a la organización.
– Evaluar los daños: también es importante incorporar a los actores indirectos que pueden verse afectados por la brecha. Estos pueden ser todas las personas cuyos datos han quedado expuestos, así como las posibles indemnizaciones que deberá pagar la compañía.
– Calcular el alcance: es fundamental que durante el procedimiento se pueda verificar que realmente ha existido una brecha, y que no hay solamente una sospecha. Si no se conocen las circunstancias exactas que ocasionaron este suceso, no debe notificarse.
– Alto riesgo o gran impacto: en los casos en los que todo este análisis concluya que existe un gran impacto, es recomendable que lo notifiques de forma inmediata a los supervisores del departamento. El criterio de alto riesgo, por su parte, sirve para medir el daño que puede causar a los propios interesados.
Cuando se lleve a cabo una notificación ante la Agencia Española de Protección de Datos debes asegurarte de que incluyes la naturaleza de la violación, a qué categoría corresponden los datos y los afectados, así como las medidas previstas para que la organización resuelva la quiebra y qué se va a hacer para compensar a los interesados. En caso contrario, puedes arriesgarte a una sanción de 10 millones de euros o el 2 % de la facturación de tu negocio.
Excepciones y casos concretos
Existen excepciones en las que estas violaciones no deberán ser notificadas. En el caso de que el responsable pueda cerciorarse y demostrar que es realmente improbable que la brecha pueda conllevar un riesgo para las libertades de los afectados, no se deberá iniciar el procedimiento con la AEPD. Sin embargo, se deberán adoptar las medidas técnicas que sean necesarias con anterioridad y posteridad para asegurar que ya no existe dicho riesgo.
Al mismo tiempo, también podrás eximirte de informar en el caso de que suponga un esfuerzo desproporcionado, y prefieras hacer una comunicación pública.
Como conclusión, una violación de seguridad debe tratarse con la seriedad que conlleva y seguir al pie de la letra cualquier tipo de procedimiento. En caso contrario, te puedes arriesgar a una importante sanción económica que comprometa a tu empresa.