19Ene

¿Cuándo y cómo comunicar un incidente de seguridad? Cinco claves para entender esta obligación

Una de las grandes novedades que trajo el Reglamento General de Protección de Datos en su entrada en vigor el pasado 2018 fue la de comunicar las brechas de seguridad a los interesados que se vean afectados por la misma, cuando sea probable que la brecha entrañe un alto riesgo para sus derechos y libertades.

Por esta razón, los últimos años hemos conocido noticias de violaciones de seguridad que han sufrido algunas empresas que afectan a miles o incluso millones de personas, que con la normativa anterior no hubiesen salido a la luz. Uno de los últimos casos fue el de Orange España, que comunicó una brecha de seguridad sufrida por uno de sus proveedores que afectó a sus propios clientes, exponiendo nombres, apellidos, direcciones postales, teléfonos, correos electrónicos, números de documentos de identidad y fechas de nacimiento.

Aunque en los medios de comunicación se pone el foco en las grandes multinacionales, la obligación de comunicar las brechas de seguridad a los clientes y otros interesados afecta a todas las organizaciones que traten datos de carácter personal, por lo que ofrecemos las cinco claves para conocer esta obligación:

Cuando comunicar una brecha de seguridad

El Reglamento General de Protección de Datos prevé en su artículo 34 la obligación de comunicar a los interesados cualquier violación de la seguridad cuando esta entrañe un alto riesgo para los derechos y libertades de las personas físicas. Por ende, se debe valorar cualquier incidente que conlleve la destrucción, pérdida, alteración o acceso no autorizados a los datos personales de una organización.

El responsable del tratamiento debe comunicar esta brecha de seguridad sin dilación indebida desde que tenga conocimiento de que se ha producido.

Por qué realizar esta comunicación

La finalidad de esta comunicación es proteger a las personas ante las consecuencias de una brecha de datos personales (por ejemplo, suplantación de identidad, revelación de datos de personales…). Conocer esta información puede ayudar a los interesados a prever las consecuencias y mitigar sus efectos.

A quién realizar la comunicación

Se debe comunicar a todos los afectados por el incidente que haya causado la brecha de seguridad, por ejemplo, clientes, empleados, proveedores o contactos comerciales de la organización.

Cómo realizar esta comunicación

Será necesario realizar la comunicación a cada uno de los afectados, por ejemplo, mediante correo electrónico, SMS o correo postal, entre otros medios. Si supone un esfuerzo desproporcionado o se desconoce con precisión quién ha podido verse afectado, se puede realizar un comunicado público que tenga la misma eficacia.

Qué debe contener este comunicado

Se debe informar a los afectados de la naturaleza del incidente en un lenguaje claro y sencillo, describiendo qué a ocurrido, qué datos se han visto afectados y qué consecuencias puede tener. Además, se deben comunicar las medidas tomadas por el responsable para solucionar la brecha y minimizar las consecuencias, facilitando un medio de contacto para ampliar la información.

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.

Share this post

Related Posts

Protección de Datos en Farmacias: Entendiendo la LOPD/RGPD 2023

La protección de datos personales se ha convertido en un...

23/11/2023
Publicación de imágenes de menores
Publicación de imágenes de menores en redes sociales: el necesario consentimiento de ambos progenitores

La actual normativa de protección de datos nacional, la Ley...

03/11/2022
Tres claves para cumplir la normativa de protección de datos
Tres claves para cumplir la normativa de protección de datos durante el control a los trabajadores

La Ley Orgánica 3/2018, de Protección de Datos Personales y...

27/01/2022
Cinco consejos para cumplir el RGPD en la relación con tus empleados
Cinco consejos para cumplir el RGPD en la relación con tus empleados

¿Qué hacer si eres responsable del tratamiento de datos? Las relaciones...

07/01/2022
El nuevo derecho a no recibir llamadas comerciales y su aplicación a la protección de datos

El pasado 29 de junio entró en vigor la modificación...

06/07/2023
Nueva Guía de la AEPD: Uso de datos biométricos para el control de presencia y acceso

La Agencia Española de Protección de Datos (AEPD) ha publicado...

21/12/2023
¿Quién tiene obligación de cumplir la LSSI?

En el mundo digital actual, cumplir con las regulaciones legales...

18/01/2024
Sancionan a una empresa por compartir la carta de despido de un trabajador por WhatsApp

La Agencia Española de Protección de Datos sanciona a una...

16/03/2023
Mensaje de alarma por la DANA: ¿medida ilegal?

El pasado 3 de septiembre la Comunidad de Madrid, entre...

07/09/2023
La importancia de proteger los soportes
La importancia de proteger los soportes: la sanción a RTVE por la pérdida de varios pendrives con datos de 11.000 empleados

El hecho que motivó la sanción fue la pérdida de...

26/05/2022