Notificar una violación de datos de una pyme conforme al GDPR: cómo, cuándo y por qué

Una violación de datos no solo es costosa para su organización en términos de tiempo invertido en rectificar una violación y el daño a la reputación causado, sino que también puede ser costosa desde una perspectiva normativa cuando no se notifica. Como PYME, es importante que su organización sepa cuándo notificar una violación de datos con arreglo al Reglamento General de Protección de Datos (RGPD) del Reino Unido, y a quién y cómo notificarla.

¿No está seguro de lo que se considera una violación de datos? Lea nuestra entrada anterior para averiguarlo.

10 ejemplos de violaciones de datos en PYME y cómo prevenirlas

¿Cuándo debe notificarse a los interesados?

La comunicación de violaciones de datos personales a los interesados se rige por el artículo 34 del GDPR, que establece que su organización debe informar de una violación de datos sin demora indebida si existe "un alto riesgo para los derechos y libertades de las personas físicas".

El considerando 85 del RGPD aclara que se trata de daños físicos, materiales o inmateriales a las personas físicas, si una violación no se aborda a tiempo, como:

• pérdida de control sobre sus datos personales o limitación de sus derechos
• discriminación
• robo o fraude de identidad
• pérdidas financieras
• anulación no autorizada de la seudonimización
• daño a la reputación
• pérdida de confidencialidad de datos personales protegidos por el secreto profesional o
• cualquier otra desventaja económica o social significativa para la persona física en cuestión.

La pérdida de datos bancarios, el intercambio de información privada relacionada con la dirección de alguien o la información que puede permitir a otra persona robar una identidad son ejemplos de riesgos para los derechos y libertades de una persona.

Sin embargo, la Oficina del Comisario de Información (ICO) sugiere que el umbral para informar a los interesados es mucho más alto que el de informar a la ICO y esto se debe en parte a que puede causar preocupaciones innecesarias si notifica a los interesados problemas menores, especialmente cuando es poco probable que la violación cause un alto riesgo para su seguridad o libertad.

De hecho, demasiadas notificaciones pueden hacer que los interesados se vuelvan complacientes y hagan caso omiso cuando una importante les pida que actúen para garantizar sus derechos sobre los datos personales.

En general, el RGPD señala que la notificación a los interesados no es necesaria cuando:

• el responsable del tratamiento ha puesto en práctica las medidas técnicas y organizativas de protección adecuadas que se aplicaron a los datos personales afectados por la violación de datos, como el cifrado;
• el responsable del tratamiento ha tomado medidas posteriores que garantizan que ya no es probable que se materialice el alto riesgo para los derechos y libertades de los interesados; o bien
• supondría un esfuerzo desproporcionado - en tal caso, debería haber en su lugar una comunicación pública o una medida similar por la que se informe a los interesados de manera igualmente eficaz.

Cómo notificar una violación de datos a los interesados

En caso de que necesite notificar a los interesados, el GDPR señala que la comunicación a los interesados:

• debe ser en un lenguaje claro y sencillo en cuanto a cuál fue el incumplimiento;
• debe contener el nombre y los datos de contacto del responsable de la protección de datos (RPD) u otro contacto dentro de la organización que pueda darles más información y responder a sus preguntas; y
• debe describir las medidas adoptadas o que adoptará su organización como responsable del tratamiento de datos para hacer frente a la violación de los datos personales y las medidas para mitigar los posibles efectos secundarios adversos, si es probable que los haya.

¿Cuándo debe notificarse al ICO?

El umbral para notificar una violación de datos personales a la ICO es mucho más bajo que el de los interesados, pero esto no significa que haya que notificar todas las violaciones de datos. Sólo debe notificar si supone un riesgo para las personas y la probabilidad y gravedad del riesgo es para los derechos y libertades de las personas, tras la violación. Tras esta evaluación, si es probable que exista un riesgo, debe notificarlo a la OIC.

Si va a notificar una violación, debe hacerlo a la OIC sin demora indebida y en las primeras 72 horas de la violación, a partir del momento en que su organización tenga conocimiento de ella. Recuerde que no notificar a la OIC una violación de datos relevante puede conllevar una multa de hasta 10 millones de euros o el 2 % de su facturación global anual, la cantidad que sea mayor.

Haga clic aquí para evaluar si debe informar a la OIC.

Cómo notificar una violación de datos a la OIC

Llame a la OIC al 0303 123 1113. Alternativamente, si cree que ha tratado la infracción adecuadamente, puede notificarlo a la OIC en línea haciendo clic en la imagen siguiente.

Haga clic en el enlace anterior para ir al sitio web de la OIC y descargar el documento Word.

A continuación encontrará una lista de cosas en las que pensar:

• Describa la situación
• Describa cómo se produjo el incidente
• ¿Cómo descubrió la organización la filtración?
• ¿Qué medidas preventivas se habían tomado antes de la infracción?
• ¿La violación fue causada por un incidente cibernético?
• ¿A qué hora se produjo la brecha?
• ¿A qué hora se descubrió la brecha?
• ¿Qué tipos de datos personales estaban implicados en la violación?
• ¿De cuántos registros de datos personales se trata?
• ¿Cuántos interesados se verán afectados?
• ¿Qué grupos de interesados pueden verse afectados?
• ¿Es probable que la violación suponga un alto riesgo para los interesados?
• ¿Ha recibido el miembro del personal implicado en la infracción formación sobre la normativa de protección de datos en los últimos dos años?
• ¿Hubo algún retraso en la notificación de la infracción y, en caso afirmativo, por qué?
• ¿Qué medidas adoptó a raíz de la infracción?
• ¿Qué medidas ha tomado para remediar la infracción?
• ¿Qué procesos o procedimientos aplicará en el futuro para evitar que se repitan?
• ¿Ha notificado esta violación a los interesados?
• ¿Quién es el responsable de protección de datos (RPD) de su organización?

Cómo prevenir una violación de datos

El panel de control de Privasee es una forma rápida y sencilla para que su organización prevenga una violación de datos y, en el peor de los casos, esté al tanto de las violaciones de datos. Con funciones que le ayudan a registrar la hora y la fecha de una violación de datos personales y la persona responsable de hacerles frente, puede ayudarle a gestionar mejor sus riesgos generales de privacidad con una mayor supervisión.

Prevenir las filtraciones de datos no tiene por qué ser costoso ni un quebradero de cabeza con las herramientas adecuadas.

Si necesita ayuda para notificar una violación de datos, póngase en contacto con un miembro del equipo de Privasee en contact@privasee.co.uk y reciba una consulta gratuita.

Descargo de responsabilidad

Este artículo no constituye asesoramiento jurídico de ningún tipo y sólo pretende desglosar algunos de los puntos principales expuestos por fuentes de acceso público como el ICO.

Más información y fuentes

https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/#whathappensif

Artículo 34 del RGPD, considerando 85 del RGPD: https://www.legislation.gov.uk/eur/2016/679/contents

- https://kyc-chain.com/how-to-identify-a-data-breach-and-report-it-quickly/

‍