¿Qué es una violación de datos o quiebra de seguridad de datos? ¿Qué implicaciones tiene? Vamos a resolver algunas dudas sobre las quiebra de seguridad en protección de datos

  1. ¿Qué se considera violación o quiebra de seguridad?

El RGPD define las violaciones de seguridad o quiebras de seguridad, de forma amplia, incluye todo incidente que ocasione la pérdida, destrucción, alteración accidental o ilícita de datos personales conservados, transmitidos o tratados de otra forma, la comunicación o acceso no automatizados a dichos datos.

EJEMPLO: el acceso no automatizado a las bases de datos de una organización, la pérdida de un ordenador portátil, el borrado accidental de algunos registros son violaciones de seguridad que en virtud del RGPD deben ser tratadas como establece el reglamento.

  1. ¿Qué obligaciones tiene el responsable si se produce una “quiebra de seguridad”?

El responsable debe notificar a la autoridad competente de protección de datos cuando tenga conocimiento de una violación de la seguridad de los datos, a menos que no suponga un riesgo para los derechos y libertades de los afectados. La notificación de la quiebra de seguridad a las autoridades debe producirse sin dilación indebida, a ser posible dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

  1. ¿Cuál es el contenido mínimo de una notificación de quiebra de seguridad?

Contenido mínimo que debe incluir la notificación:

  • La naturaleza de la violación.
  • Categorías de datos y de interesados afectados.
  • Medidas adoptadas por el responsable para solventar la quiebra.
  • Medidas aplicadas para paliar posibles efectos negativos sobre los interesados, si procede.
  • Todas las violaciones de seguridad deben ser documentadas por los responsables.
  1. Plazo para notificar la quiebra de seguridad, ¿Existe algún caso en el que este plazo se pueda ver reducido o incrementado?

El RGPD requiere que se realice sin dilación indebida, no hace referencia al momento en que se tenga constancia de ella ni a la posibilidad de realizar la notificación dentro de un plazo de 72 horas.

El propósito es que el interesado siempre pueda reaccionar tan pronto como sea posible.

Puede darse el caso de que la notificación no pueda realizarse dentro de las 72 horas, por ejemplo, por la complejidad de determinar su alcance completamente.

Para esta circunstancia, se puede notificar más tarde explicando los motivos del retraso.

En estos casos, puede notificarle más tarde y explicar el motivo del retraso. Cuando la información no se puede proporcionar en el momento de la notificación, se puede proporcionar de forma escalonada.