Skip to main content

Notificaciones de violaciones de seguridad de datos personales

By June 20, 2024December 2nd, 2024Andorra

Notificaciones de violaciones de seguridad de datos personales

¿Qué es una violación de la seguridad de los datos personales?

En primer lugar, debemos tener en cuenta que tanto el encargado del tratamiento de los datos como el responsable del tratamiento de los mismos, deben aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos apropiado al riesgo.

Entre estas medidas adoptadas o propuestas por el responsable o el encargado se pueden encontrar:

  • La pseudoniminzación y el cifrado de los datos personales.
  • La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanente de los sistemas y de los servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera rápida, en caso de incidente físico o técnico.
  • Un proceso para verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas establecidas para garantizar la seguridad del tratamiento de los datos personales.

En caso de violación de la seguridad de los datos personales, entenderos que se trate de cualquier violación de la seguridad que ocasiona, de manera accidental o ilícita, en todo caso no autorizada, la pérdida, la alteración, o la divulgación de datos personales transmitidos, conservadas o tratadas de otro modo, o la comunicación o el acceso no autorizados a estos datos

informatica andorra

Tipos de Violación de la seguridad de los datos personales

A la hora de analizar la gravedad de la violación de la seguridad de los datos, debemos tener en cuenta en primer lugar, de qué tipo de violación de la seguridad se trata:

  • Violación de la confidencialidad: cuando se produce una revelación o se ha accedido de manera no autorizada o accidental a los datos personales.
  • Violación de la integridad: cuando se produce una alteración no autorizada o accidental de los datos personales.
  • Violación de la disponibilidad: cuando se produce una pérdida de acceso accidental o no autorizado a los datos personales, o bien se han destruido.

El Delegado de Protección de Datos y la notificación de violaciones de seguridad

La normativa establece que el responsable del tratamiento tiene que realizar la notificación de la violación de la seguridad de los datos personales a la autoridad de control competente sin dilación indebida, en un plazo máximo de 72 horas (cuidado, los fines de semana y festivos también cuentan en este plazo) desde que se ha tenido constancia.

Ahora bien, también existen excepciones, como por ejemplo que esta violación de la seguridad de los datos no comporte un riesgo para los derechos y libertades de las personas de las cuales se han violado los datos personales.

Si la notificación no se realiza dentro del plazo de las 72 horas siguientes, se deberá justificar debidamente tal dilación indebida.

¿En qué consiste la obligación de notificar las violaciones de seguridad?

Una violación de la seguridad puede incluir la pérdida o supresión accidental o ilegal de los datos relativos a cualquier persona que almacene o reciba dichos datos.

La obligación de realizar esta notificación debe contener además lo siguiente:

  • Se deberá realizar una descripción de la naturaleza de la violación de la seguridad de los datos incluyendo si es posible las categorías y el número aproximado de personas afectadas y las categorías y el número aproximado de registros de datos afectados.
  • Comunicación del nombre y los datos de contacto del delegado de protección de datos o bien otro contacto donde se pueda obtener más información.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de la seguridad de los datos.

Si toda la información no se puede facilitar simultáneamente, en la medida en la que sea posible, se deberá facilitar de forma gradual sin dilación indebida.

Quan haig de designar un DPD

¿Quién tiene que realizar la comunicación ante la autoridad de control competente?

El responsable del tratamiento de los datos personales deberá realizar la comunicación ante la autoridad compentente.

Ahora bien, hay otros agentes que pueden entrar en juego en esta situación.

El Delegado de protección de datos deberá asesorar, e informar en todo momento al responsable del tratamiento para que éste realice la mejor ejecución posible dentro de la situación de la violación de la seguridad de los datos.

El encargado de tratamiento deberá colaborar con el responsable. Ahora bien, en el contrato de encargado de tratamiento se deberá especificar quién debe ser quién realice la comunicación ante la autoridad competente en todo caso.

En este enlace tienes el formulario que debes utilizar para realizar la comunicación de la brecha de seguridad ante la Agencia Andorrana de protección de datos.

Comunicación a los interesados

La comunicación por parte del responsable del tratamiento se debe realizar a los interesados cuando la violación de la seguridad de los datos pueda comportar un alto riesgo para los derechos y libertades de las personas.

Esta comunicación no tiene un plazo de tiempo establecido por ley, si bien sí que debe realizarse sin dilación indebida. Por lo tanto, estas violaciones de seguridad de los datos es recomendable que se realice dentro de las 72 horas que establece la ley.

La protección de datos debe ser clara para los interesados y no debe interpretarse como retrasos no deseados. Esta comunicación tiene por objeto ayudar a informar a las partes interesadas sobre las precauciones adecuadas. Reducir el riesgo de uso indebido de los datos personales.

Es muy importante que la comunicación se haga sin dilación indebida de forma que se reduzca el riesgo.

Medidas de seguridad

Para evitar incidentes de seguridad de los datos o de naturaleza de la violación de seguridad de los datos que puedan atentar contra los derechos y libertades de las personas, los responsables deberán por obligación, desarrollar unas medidas de control para evitar la probabilidad de sufrir brechas de seguridad.

Tanto los responsables como los encargados del tratamiento tienen la obligación y la resposnabilidad activa de transmitir los conocimientos necesarios en materia de privacidad a sus trabajadores y concienciar a todo el personal que tenga acceso a los datos personales de la importancia de la seguridad y de la confidencialidad y de los protocolos internos sobre esta materia.

Protocolos internos

Los equipos profesionales deben hacer frente a otra de sus obligaciones de carácter educativo: los protocolos internos.

Estos protocolos deben servir para que las personas que forman parte de las entidades puedan saber las obligaciones y las respuestas que deben transmitir cuando reciban preguntas relacionadas con las brechas de seguridad y el ejercicio de los derechos y libertades de las personas interesadas, incluso a través de preguntas sobre la posible destrucción de sus datos personales.

Este nivel de conocimiento es muy importante, ya que puede marcar la posible queja ante la autoridad de control o no por parte del afectado.

En este caso, el responsable debe conocer todos los derechos y el riesgo para los derechos de los interesados.

RGPD – Unión Europea

La legislación andorrana, está totalmente homologada al RGPD y por lo tanto a las regulaciones de la Unión Europea. Por ese motivo cualquier brecha de seguridad sigue los procedimientos que establece el RGPD para una brecha de seguridad.

Puedes encontrar en este artículo más información sobre el reglamento europeo, así como de la violación de seguridad.

Si buscas más información sobre la autoridad de control, las categorías de datos personales, los efectos y consecuencias de no realizar los tratamientos de conformidad a la ley, puedes leer este otro artículo.

Andorra Services

Andorra Services

Su solución integral en Andorra