Respuesta
Una violación de la seguridad de los datos se produce cuando los datos de los que ustedes son responsables sufren un incidente de seguridad que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos. Si esto ocurre, y es posible que la violación ponga en riesgo los derechos y libertades de una persona, deberán notificar a la autoridad de control sin demora y a más tardar 72 horas después de que hayan tenido constancia de ello. Si es un encargado del tratamiento deberá notificar cada violación de la seguridad de los datos al responsable del tratamiento.
Si la violación de la seguridad de los datos supone un alto riesgo para las personas afectadas, estas también deberán ser informadas (a menos que se hayan aplicado medidas de protección técnicas y organizativas efectivas, u otras medidas que garanticen que ya no existe la probabilidad de que se concretice el riesgo).
Como organización, resulta vital aplicar las medidas técnicas y organizativas apropiadas con el fin de evitar posibles violaciones de la seguridad de los datos.
Ejemplos
La organización debe notificar a la autoridad de protección de datos (APD) y a las personas
Los datos de los empleados de una empresa textil se han revelado. Los datos incluyen las direcciones personales, la composición de la familia, el sueldo mensual y los gastos médicos de cada empleado. En este caso, la empresa textil debe informar a la autoridad de control de la violación de la seguridad. Dado que incluyen datos personales sensibles, como los datos sanitarios, la empresa también debe notificarlo a los empleados.
Un empleado de un hospital decide copiar la información de los pacientes en un CD y la publica en internet. El hospital se da cuenta unos días más tarde. En cuanto el hospital se da cuenta, tiene 72 horas para informar a la autoridad de control y, como la información personal contiene información sensible, como si un paciente tiene cáncer, una paciente está embarazada, etc., también debe informar a los pacientes. En este caso, no está claro si el hospital ha aplicado las medidas de protección técnicas y organizativas apropiadas; si hubiera aplicado las medidas de protección apropiadas (como el cifrado de los datos), no existiría la probabilidad de que se concretizara el riesgo y podría quedar exento de notificarlo a los pacientes.
La empresa debe notificar a los clientes y después puede tener que notificar a la APD y las personas
Un servicio en la nube pierde varios discos duros con datos personales de varios de sus clientes, por lo que debe notificar a estos clientes en cuanto tenga conocimiento de la violación de la seguridad. Sus clientes deberán notificar a la APD y las personas en función de los datos que fueron tratados por el encargado del tratamiento.
Referencias
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.