Fuga de información (fuga de datos) o violación de seguridad de protección de datos en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/06/2018

La violación de la seguridad de los datos personales, es definida en el RGPD como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

El RGPD establece la obligación para todos los responsables del tratamiento de notificar las violaciones de seguridad de los datos antes de 72 horas a la autoridad de control (en el caso de España será la Agencia Española de Protección de Datos) y a los afectados. Debemos señalar que esta obligación supone una novedad por cuanto que antes de que resultase aplicable el RGPD, únicamente resultaba exigible notificar las brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público.

En todo caso, y conforme al principio de responsabilidad proactiva, los responsables están obligados a implementar medidas de seguridad que además de impedir o dificultar este tipo de incidencias, permitan –en su caso- detectar que la violación de seguridad se ha producido y analizar esta.

En este sentido, el considerando art. 87,RGPD, determina que debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado.

Por otra parte, también resultará necesario verificar que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado.

Como se ha señalado el RGPD extiende la obligación de notificar la existencia de una brecha de seguridad a todos los responsables del tratamiento, y no únicamente a las empresas del sector de las comunicaciones electrónicas (como sucedía con anterioridad).

Pues bien, esta notificación debe de realizarse a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.

La notificación debe de realizarse atendiendo a lo dispuesto en el 33 del RGPD, de forma que se realice dentro de las 72 horas siguientes a que el responsable tenga constancia de ella y conteniendo como mínimo los siguientes extremos:

  • a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
  • b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  • c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
  • d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

En el caso de que no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Por otra parte, la comunicación remitida al interesado -que deberá de efectuarse cuando la violación pudiera comportar un alto riesgo para los derechos de los interesados-deberá efectuarse sin dilaciones indebidas y en lenguaje claro y sencillo, excepto que:

  • El responsable hubiera adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.
  • Haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo.
    Suponga un esfuerzo desproporcionado.
  • Con respecto a lo que debe de entender por alto riesgo , el RGPD indica que tal riego se producirá cuando sea probable que la violación de seguridad ocasione daños de entidad a los interesados.

Por ultimo debemos referirnos a la posibles consecuencias que una fuga o violación de seguridad puede implicar en los interesados. Así el RGPD, señala que en el caso de que no se adopten las medidas preventivas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.

Pues bien, el art. 82, RGPD reconoce expresamente el derecho a toda persona que sufra daños o perjuicios materiales o morales como consecuencia de una infracción de la norma a solicitar una indemnización al responsable o encargado del tratamiento.

No hay versiones para este comentario

Violación de la seguridad de los datos personales
Protección de datos
Responsable del tratamiento
Autoridad de control de datos
Datos personales
Comunicación electrónica
Principio de responsabilidad
Dilaciones indebidas
Seguridad de los datos personales
Medidas de seguridad
Persona física
Delegado de protección
Reversión
Anonimización de datos
Suplantación de identidad
Medidas de seguridad en el trabajo
Daños y perjuicios
Perjuicios económicos
Encargado del tratamiento
Datos confidenciales
Perjuicio económico
Secreto profesional
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Responsabilidad del responsable del tratamiento de datos en el RGPD.

    Orden: Administrativo Fecha última revisión: 19/06/2018

    La responsabilidad del responsable del tratamiento se especifica en el art. 42, ;RGPD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo del texto normativo. Sin perjuicio de...

  • Sistema de proactividad en el cumplimiento normativo del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reg...

  • Comunidad de propietarios y protección de datos

    Orden: Civil Fecha última revisión: 30/06/2016

    En cuanto a las obligaciones de la comunidad de propietarios en relación con la protección de datos es preciso tener en cuenta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuyo objeto es garantizar ...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados