INFORMACIÓN SOBRE RGPD
Prevenir las violaciones de datos personales
Las empresas evitarán las violaciones de la seguridad de los datos personales adoptando las medidas de seguridad técnicas y organizativas adecuadas. Una violación de datos personales se produce cuando los datos personales, por ejemplo, se eliminan o cambian involuntariamente. Lo mismo se aplica cuando cualquier persona no autorizada obtiene acceso a datos personales.
Las empresas deben evitar las violaciones de datos personales
En algunos casos, las violaciones de datos personales pueden tener importantes consecuencias devastadoras para los interesados. Por ejemplo, una violación de datos personales puede resultar en:
- Robo de identidad,
- fraude,
- Discriminación.
Las empresas deben evitar las violaciones de datos personales de acuerdo con RGPD
Hay varias cosas que las empresas pueden hacer para evitar violaciones de datos personales. Además, es importante actuar lo más rápido posible si ocurre, ya que puede minimizar las consecuencias. Por lo tanto, es bueno crear una buena cultura de seguridad dentro de las operaciones de la empresa.
Estos son algunos ejemplos de lo que las empresas pueden hacer para evitar violaciones de datos personales:
Procedimientos
Es importante detectar las violaciones de datos personales lo más rápido posible. Por lo tanto, es bueno crear rutinas internas escritas para los empleados que tengan claro cómo pueden hacerlo. Por ejemplo, mediante comprobaciones periódicas de los permisos de acceso, pruebas de vulnerabilidades en sistemas digitales, etc.
Plan de acción
La compañía debe prepararse antes de que ocurra una violación de datos personales para lo que los empleados deben hacer si ocurre. De esta manera, pueden actuar más rápido. El plan de acción también podrá complementarse con una lista de comprobación. Dicha documentación facilita el proceso y la gestión de las violaciones de datos personales, lo que garantiza una acción correcta en virtud del RGPD.
Documentación
Es importante documentar todas las violaciones de datos personales, ya que este es un requisito bajo el RGPD. Esto también se aplica a los responsables del tratamiento que no necesitan notificar la violación de datos personales a la autoridad responsable de la protección de datos o a los interesados. Por lo tanto, es importante que la empresa se asegure de presentar la documentación necesaria para la documentación de una violación de datos personales. Por ejemplo, un libro de registro y una lista de verificación relacionada.
El Comité Europeo de Protección de Datos (CEPD) ha publicado directrices con ejemplos de notificación de violaciones de datos personales. Allí describen las diversas violaciones de datos personales y pasan por sus posibles efectos. Las directrices son útiles para comprender los análisis que deben realizarse en caso de violación de datos personales. (Haga clic aquí para leerlo)
Decisión vinculante del CEPD sobre la violación de la seguridad de los datos personales
La Autoridad Irlandesa de Protección de Datos, junto con varias otras autoridades de protección de datos en la UE, llevó a cabo la supervisión de una gran empresa después de que informaran de una violación de datos personales. Sin embargo, las APD de los demás países de la UE no estaban de acuerdo con la decisión propuesta por la APD irlandesa. Por lo tanto, se refirieron al procedimiento de resolución de litigios del CEPD.
La violación de datos personales involucró publicaciones de casi 90,000 usuarios que se hicieron públicas debido a errores de programación. Entre otras cosas, el CEPD llamó la atención sobre el hecho de que los interesados querían limitar el número de lectores manteniendo sus puestos privados. La consecuencia para la empresa fue una multa de 450 000 EUR, impuesta por la Autoridad irlandesa de protección de datos.
Posición del Tribunal de Justicia de la Unión Europea (TJUE) sobre los daños y perjuicios en caso de violación de la seguridad de los datos personales
Según el Tribunal de Justicia de la Unión Europea (TJUE), los interesados a los que se hayan filtrado sus datos personales pueden tener derecho a una indemnización por daños y perjuicios si existe un temor legítimo de que se utilicen indebidamente en el futuro. El TJUE había recibido una petición de decisión prejudicial del Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria, a raíz de una serie de recursos interpuestos contra las autoridades tributarias búlgaras. Los datos personales se habían filtrado y, por lo tanto, los interesados exigían una indemnización por daños y perjuicios. El TJUE declaró que los interesados pueden tener derecho a una indemnización por daños y perjuicios. Por otro lado, esto no es algo que una autoridad de protección de datos responsable busque, sino algo que los interesados pueden exigirse a sí mismos, posiblemente mediante la presentación de una demanda contra la autoridad tributaria ante los tribunales. Tenga en cuenta que los daños y multas no son lo mismo.
MÁS INFORMACIÓN SOBRE LOS INCUMPLIMIENTOS DE DATOS
Informar a los interesados y a la autoridad nacional de protección de datos en caso de violación de la seguridad de los datos personales
En algunos casos, las empresas que detectan una violación de datos personales deben informar a los interesados afectados por ella. Además, es posible que las empresas deban notificar la violación de datos personales a la autoridad nacional de protección de datos o, en algunos casos, a la autoridad responsable de la protección de datos. Ya sea que la empresa necesite informar a los interesados o a la autoridad de protección de datos, la violación de datos personales siempre debe ser documentada por la empresa. Tenga en cuenta que el plazo para notificar una violación de datos personales es de 72 horas desde el descubrimiento.