Brechas o violaciones de seguridad

¿Qué son?

 

Formalmente abarca cualquier percance que originase la destrucción, pérdida, modificación accidental o ilícita de los datos personales tratados.

 

Vamos concretando:

Daños y perjuicios físicos, materiales o inmateriales para las personas físicas como por ejemplo:

  • Pérdida de control sobre sus datos personales
  • Restricción de sus derechos
  • Discriminación,    
  • Usurpación de identidad,
  • Pérdidas financieras,
  • Reversión no autorizada de la seudonimización,
  • Daño para la reputación,
  • Pérdida de confidencialidad de datos sujetos al secreto profesional,
  • O cualquier otro perjuicio económico o social significativo para la persona física en cuestión

Vendría a sustituir a nuestro actual registro de incidencias, con la novedad que en determinados casos habrá que comunicar dicha brecha a la autoridad de control e incluso al propio interesado.

 

¿Cuándo y cuando deberá comunicarse a la autoridad de control?

  1. Tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad
  2. Sin dilación indebida y a más tardar en el plazo de 72 horas después de que haya tenido constancia de la misma

Salvo que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.

  

¿Cuándo y cuando deberá comunicarse al propio interesado?

  1. Deberá comunicar al interesado sin dilación indebida, la violación de la seguridad de los datos personales cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No será necesaria la comunicación al interesado, si el responsable cumple con alguna de las siguientes condiciones:

  • Los datos personales estuvieran cifrados
  • Tras la violación, el responsable hubiera adoptado medidas para garantizar que no se materializará ese alto riesgo
  • Suponga un esfuerzo desproporcionado y en su lugar se haga una comunicación pública o similar

Por lo tanto se hace necesario prever (proactividad en el análisis de riesgos)  los riesgos asociados a un tratamiento para aplicar las necesarias medidas que eliminen o mitiguen dichos riesgos, evitando en la medida de los posible que se produzcan estas violaciones de seguridad puesto que, si la privacidad de los interesados queda comprometida, la reputación del responsable será destruida.