ARTÍCULO 5, APARTADO 1, LETRA D), DEL RGPD
Definición de violación de datos personales
La definición de violación de datos personales se establece en el artículo 4, apartado 12, del RGPD. Una violación de datos personales es un tipo de incidente de seguridad que conduce a la destrucción, alteración o pérdida ilegal o accidental de datos personales. Como alternativa, el incidente de seguridad da lugar a un acceso no autorizado o a la divulgación de datos personales almacenados, transmitidos o tratados de otro modo. Algo que es importante tener en cuenta, es que constituye una violación de datos personales independientemente de si se produjo debido a una acción intencional o no intencional.
Las empresas deben evitar las violaciones de datos personales
Las empresas adoptarán las medidas técnicas y organizativas adecuadas para proteger los datos personales. En otras palabras, las empresas deben adoptar diversas medidas para tratar de evitar las violaciones de datos personales. Aquí hay algunos consejos sobre cómo evitar violaciones de datos personales y minimizar los riesgos después de que se haya producido una violación de datos personales:
- Siempre verifique que el destinatario de un SMS, carta o correo electrónico sea correcto, antes de enviar el mensaje que contiene datos personales.
- Comprobar periódicamente los permisos de los usuarios a los sistemas utilizados en la empresa y tratar datos personales. Elimine los derechos de acceso de los usuarios cuando ya no necesiten acceso.
- Utilice la autenticación multifactor (MFA) cuando inicie sesión en sistemas que contengan datos personales, siempre que sea posible.
- Utilice contraseñas diferentes y complejas para aplicaciones/sistemas, ordenadores de trabajo, teléfonos móviles, etc.
- Instale protección contra virus en dispositivos que procesan datos personales, como computadoras de trabajo.
- Asegúrese de que los dispositivos que contienen información personal se mantengan actualizados con la última versión del software.
Posibles consecuencias para los interesados en caso de violación de datos personales
Las violaciones de datos personales pueden tener graves consecuencias para los interesados. Por ejemplo:
- Fraude u otro daño financiero.
- Robo de identidad.
- Difusión nociva de rumores.
Ejemplos de violaciones de datos personales
Hay muchos tipos diferentes de incidentes que pueden considerarse como violaciones de datos personales. Estos son algunos ejemplos de violaciones comunes de datos personales:
Violación de datos
Si hay una violación de datos donde alguien no autorizado accede a los datos personales. Las violaciones de datos pueden ocurrir internamente dentro de un lugar de trabajo o externamente por terceros.
Correos electrónicos mal dirigidos
Cuando una persona en una empresa envía un correo electrónico que contiene datos personales al destinatario equivocado, se trata de una violación de datos personales.
Ataque de virus
Si hay un ataque de virus que conduce a la eliminación de datos personales. Por lo tanto, es bueno tener archivos de copia de seguridad, si es necesario, para poder recuperar datos que se perdieron o destruyeron accidentalmente.
Robo de un ordenador de trabajo o teléfono móvil
Si una computadora de trabajo o un teléfono móvil contiene datos personales y es robado, se trata de una violación de datos personales. Esto se debe al hecho de que la empresa en tales situaciones ha perdido el control de los datos personales que estaban en el dispositivo robado.
Documentación de violaciones de datos personales
Las empresas deben documentar todas las violaciones de datos personales que se hayan producido. Esto se aplica independientemente de si la empresa debe informar a los interesados o notificar la violación de datos personales a la autoridad nacional de protección de datos. Por lo tanto, es importante que la empresa tenga procedimientos internos, diarios de navegación y otra documentación necesaria para poder compilar por escrito las violaciones de datos personales.
Informar a los interesados o notificar a la autoridad nacional de protección de datos de una violación de datos personales ocurrida
Cuando se produzca una violación de la seguridad de los datos personales, el responsable del tratamiento informará de ello, en determinados casos, a los interesados afectados. Por ejemplo, si se han filtrado los datos de la tarjeta de crédito, lo que puede tener consecuencias muy negativas para los interesados. Al informar a los interesados de una violación de datos personales que haya ocurrido con sus datos personales, pueden tomar medidas para tratar de minimizar los riesgos. Además, las empresas que son responsables del tratamiento de datos también deben notificar a la autoridad nacional de protección de datos las violaciones de datos personales que se hayan producido en determinados casos.
Sanción para las empresas que reportaron una violación de datos personales tarde
Existen ciertos tipos de violaciones de datos personales que las empresas deben notificar a la autoridad nacional de protección de datos. Según el RGPD, tales incidentes deben informarse dentro de las 72 horas posteriores al momento en que el controlador tuvo conocimiento de la violación de datos personales.
Sin embargo, otras leyes pueden tener un límite de tiempo más corto. Por ejemplo, una empresa en Polonia tuvo que pagar una multa por no haber notificado una violación de datos personales dentro de las 24 horas posteriores a su descubrimiento de conformidad con las leyes de telecomunicaciones.
INCUMPLIMIENTO DE DATOS
Violaciones transfronterizas de datos personales
No es raro que las empresas vendan servicios o productos a otros países dentro del área de la UE / EEE. Además, muchas empresas operan en varios países de la Unión Europea. Por lo tanto, es común procesar datos personales pertenecientes a personas en diferentes países. En algunos casos, por lo tanto, una violación de datos personales puede estar relacionada con varios países, y en tales casos se trata de una violación transfronteriza de datos personales. Por lo tanto, es importante que las empresas sepan qué autoridad de protección de datos es la autoridad supervisora principal.