¿Qué es una violación de la seguridad de los datos y qué

deberíamos hacer en caso de sufrir una?

Una violación de la seguridad de los datos se produce cuando los datos de los que
ustedes son responsables sufren un incidente de seguridad que da lugar a la
violación de la confidencialidad, disponibilidad o integridad de los datos. Si esto
ocurre, y es posible que la violación ponga en riesgo los derechos y libertades de
una persona, deberán notificar a la autoridad de control sin demora y a más
tardar 72 horas después de que hayan tenido constancia de ello. Si es un
encargado del tratamiento deberá notificar cada violación de la seguridad de los
datos al responsable del tratamiento.

Si la violación de la seguridad de los datos supone un alto riesgo para las

personas afectadas, estas también deberán ser informadas (a menos que se
hayan aplicado medidas de protección técnicas y organizativas efectivas, u otras
medidas que garanticen que ya no existe la probabilidad de que se concretice el
riesgo).

Como organización, resulta vital aplicar las medidas técnicas y organizativas

apropiadas con el fin de evitar posibles violaciones de la seguridad de los datos.

Ejemplos

La organización debe notificar a la autoridad de protección de datos (APD) y

a las personas
Los datos de los empleados de una empresa textil se han revelado. Los datos
incluyen las direcciones personales, la composición de la familia, el sueldo
mensual y los gastos médicos de cada empleado. En este caso, la empresa textil
debe informar a la autoridad de control de la violación de la seguridad. Dado que
incluyen datos personales sensibles, como los datos sanitarios, la empresa
también debe notificarlo a los empleados.

Un empleado de un hospital decide copiar la información de los pacientes en un

CD y la publica en internet. El hospital se da cuenta unos días más tarde. En
cuanto el hospital se da cuenta, tiene 72 horas para informar a la autoridad de
control y, como la información personal contiene información sensible, como si un
paciente tiene cáncer, una paciente está embarazada, etc., también debe informar
a los pacientes. En este caso, no está claro si el hospital ha aplicado las medidas
de protección técnicas y organizativas apropiadas; si hubiera aplicado las medidas
de protección apropiadas (como el cifrado de los datos), no existiría la probabilidad
de que se concretizara el riesgo y podría quedar exento de notificarlo a los
pacientes.
La empresa debe notificar a los clientes y después puede tener que notificar
a la APD y las personas
Un servicio en la nube pierde varios discos duros con datos personales de varios
de sus clientes, por lo que debe notificar a estos clientes en cuanto tenga
conocimiento de la violación de la seguridad. Sus clientes deberán notificar a la
APD y las personas en función de los datos que fueron tratados por el encargado
del tratamiento.