Prevención de la violación de datos: 10 ejemplos de violaciones de datos y cómo prevenirlas

Contenido

• ¿Cómo prevenir una violación de datos?
• ¿Qué es una violación de datos?
• ¿Qué son los datos personales?
• Ejemplos de violaciones de datos
• ¿Cuándo deben notificarse las violaciones de datos?

¿Cómo prevenir una violación de datos?

Llevar a cabo evaluaciones de riesgos, como una Evaluación del Impacto sobre la Protección de Datos (EIPD), y registrarlas puede ayudarle a prevenir las filtraciones de datos. Las evaluaciones de riesgos pueden ayudarle a identificar la antigüedad de su software, dónde pueden estar las vulnerabilidades y el nivel de formación que ha recibido su personal para gestionar la probabilidad general de que se produzca una violación de datos en su organización.

El cuadro de mandos de Privasee es una forma rápida y sencilla de que su organización se mantenga al tanto de estos componentes y le ayuda a coordinar la intersección entre múltiples condiciones de riesgo. Con funciones que le ayudan a registrar la hora y la fecha de las DPIA y la persona responsable de llevarlas a cabo puede ayudarle a gestionar mejor sus riesgos generales de datos con una mayor supervisión. Prevenir las violaciones de datos no tiene por qué ser costoso ni un quebradero de cabeza con las herramientas adecuadas.

Como PYME, su organización debe entender qué es una violación de datos, cómo identificarla, cuándo debe notificarse a la Oficina del Comisionado de Información (ICO) y, en última instancia, cómo prevenirla.

¿Qué es una violación de datos?

El GDPR define una violación de datos como:

"Una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otra forma" (artículo 4, apartado 12, del RGPD).

El artículo 29 de las Directrices del Grupo de Trabajo (WP29) aclara aún más el significado de lo anterior:

• la destrucción de datos como datos que ya no existen o que existen en una forma inútil para el responsable del tratamiento;
• la pérdida de datos como datos que existen pero a los que el responsable del tratamiento ya no tiene acceso;
• la alteración de datos, es decir, que los datos queden incompletos de algún modo, como en el caso de los datos corruptos, o cuando los datos se alteran sin el consentimiento del interesado; y
• la divulgación no autorizada de datos o el acceso no autorizado a los mismos, como el intercambio, almacenamiento o tratamiento de datos personales con destinatarios no deseados.

¿Y la pérdida temporal de datos?

Las orientaciones del WP29 aconsejan que la pérdida temporal de datos puede constituir una violación de datos si la falta de acceso afecta a los derechos y libertades de las personas (véase un ejemplo a continuación). Si la pérdida temporal es más grave, puede incluso ser necesario notificar la violación a la OIC. En cualquier caso, la pérdida temporal de datos debe documentarse al igual que las pérdidas permanentes de datos para demostrar la responsabilidad de su organización.

¿Qué son los datos personales?

Los datos personales se definen en el artículo 4 (1) del GDPR como:

"Toda información sobre una persona física identificada o identificable ("interesado"); una persona física identificable es aquella cuya identidad puede determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física".

Pueden ser tanto objetivos, como el nombre y la dirección de correo electrónico de una persona, como subjetivos, como los pensamientos y opiniones sobre ella, por ejemplo, cuando las organizaciones hacen evaluaciones sobre las personas para facilitarles el acceso a productos como la banca o los seguros. Los datos subjetivos también incluyen datos sobre los puntos de vista de un individuo y sus interacciones dentro de la sociedad, como sus comportamientos y acciones. El WP29 también llama nuestra atención sobre el hecho de que no es necesario que los datos sean exactos o correctos para que se consideren datos personales; esta es la razón por la que el GDPR tiene disposiciones separadas para corregir la información errónea.

Los datos personales también tienen que referirse a personas físicas. Una persona es una persona física desde su nacimiento hasta su muerte, independientemente de su nacionalidad o residencia, ya que el derecho a la intimidad se considera un derecho universal. Aunque las normas sobre los datos relacionados con los fallecidos son ligeramente diferentes, el WP29 sugiere que puede ser más fácil tratarlos de la misma manera que los de las personas físicas porque los datos de los fallecidos pueden contener indirectamente datos de los vivos. Por ejemplo, los datos sensibles de una persona fallecida con hemofilia pueden identificar indirectamente a su descendencia con la misma afección.

¿Qué no son datos personales?

Los datos relativos a organizaciones no se consideran datos personales. Otra información que no se considera datos personales incluye:

• Correos electrónicos para toda la empresa, como info@organisation.com
• Datos anónimos
• Datos que no permiten identificar a las personas*.

Sin embargo, esto no significa que no puedan aplicarse leyes nacionales de datos que consideren determinados datos como personales. También pueden aplicarse otros regímenes jurídicos no relacionados con la normativa de datos, como la legislación penal o de propiedad intelectual. Es posible que su organización tenga que evaluar esto caso por caso.

Ejemplos de violaciones de datos

• Compartir datos personales de clientes en plataformas de medios sociales sin su consentimiento
• Enviar un correo electrónico a la persona equivocada que contenga el nombre completo y la dirección de un cliente, lo que puede tener consecuencias negativas para el cliente.
• Exposición de datos personales a públicos no deseados
• Pérdida de datos cuando éstos hayan sido borrados accidentalmente o por terceros no autorizados, o se haya perdido la clave de descifrado en el caso de datos cifrados.
• Pérdida de datos debido a la pérdida de hardware, como memorias USB y notas escritas.
• La pérdida permanente de datos personales que no tenían copia de seguridad, como las notas manuscritas, que son los únicos registros disponibles, lo que también se conoce como violación de la disponibilidad.
• Pérdida temporal de datos personales que habrían sido cruciales en el momento en que se requirieron, como la pérdida temporal de registros hospitalarios que condujo a la cancelación de una cita o intervención quirúrgica.
• Irrupciones de terceros para robar archivos con datos personales de empleados y clientes.
• Alterar los datos sin el consentimiento del interesado cuando no existan copias de seguridad.
• Ciberataques

Vea aquí un análisis detallado del impacto de la filtración de datos de una plataforma de reservas hoteleras en la que se expusieron los datos de las tarjetas de crédito de más de 100.000 clientes.

¿Cuándo debe notificarse a la ICO una violación de datos?

Si se produce una violación de datos personales, hay que considerar si supone un riesgo para las personas y la probabilidad y gravedad del riesgo para los derechos y libertades de las personas tras la violación. Tras esta evaluación, si es probable que exista un riesgo, debe notificarlo a la OIC; si es poco probable, no tiene que notificarlo, pero debe justificar esta decisión y documentarla.

Si notifica una violación de datos, debe notificarla a la OIC sin demora indebida y en las primeras 72 horas de la violación, a partir del momento en que tuvo conocimiento de ella. No notificar a la OIC una violación de datos relevante puede dar lugar a una multa de hasta 10 millones de euros o el 2 % de su facturación global anual, lo que sea mayor.

Haga clic aquí para evaluar en línea si debe informar a la OIC.

También debe evaluar el impacto sobre las personas físicas, ya que las organizaciones deben informar de una violación de datos a los interesados sin demora indebida si existe "un alto riesgo para los derechos y libertades de las personas físicas", por ejemplo, si la violación de datos vulnera su seguridad de alguna manera. Sin embargo, el umbral de notificación a los interesados es más alto que el de notificación a la OIC, por lo que es probable que deba notificar primero a la OIC, en cualquier caso. En otros casos, informar de una violación de datos a los interesados con demasiada frecuencia puede causar a veces cansancio, de modo que una violación grave no se toma con la gravedad que merece.

Para obtener información sobre cómo notificar una violación de datos, consulte nuestro próximo post sobre notificaciones.

*https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

Descargo de responsabilidad

Este artículo no constituye asesoramiento jurídico de ningún tipo y sólo pretende desglosar algunos de los puntos principales expuestos por fuentes de acceso público como el ICO.

Fuentes y otros recursos

Comisión Europea - ¿Qué son los datos personales?

Artículo 29 Dictamen 4/2007 del Grupo de Trabajo sobre el concepto de datos personales

Directrices del Grupo de Trabajo del Artículo 29 sobre la notificación de violaciones de datos personales en virtud del Reglamento 2016/679

Ejemplos de violación de datos personales

Infracciones de la legislación sobre datos personales ICO

‍