Brechas de Seguridad de los Datos Personales
Estaremos ante una brecha de seguridad de los datos personales (Artículo 4.12 del RGPD), cuando un incidente cumpla las siguientes características:
-
Afecte a datos personales.
-
Cause la destrucción, pérdida, alteración, comunicación o acceso no autorizado a los mismos.
-
Sea involuntario (por error, accidente) o voluntario (ciberataque, robo, acceso ilegal).
Ejemplos de brechas de seguridad de los datos personales
Pérdida/robo de portátil, ordenador, memoria USB no cifrado con datos sobre alumnos.
Ciberataque mediante software malicioso (virus, ransomware, etc).
Publicación en internet de las notas de todos los alumnos de un curso.
Antes de que tu centro sufra una brecha de datos personales:
-
Asegúrate de que tu centro ha designado a una persona responsable de gestionar las brechas.
Si tu centro ha sufrido una brecha de datos personales, esa persona designada responsable deberá:
-
Ponerse en contacto con el DPD del centro para buscar asesoramiento.
-
Analizar los riesgos que supone la misma (herramienta asesora brecha) para los derechos y libertades de las personas.
-
Adoptar medidas lo antes posible. Buscando asesoramiento especializado si es necesario.
-
Recopilar toda la información posible sobre:
-
Causas de la brecha.
-
Categoría y número aproximado de datos personales y de personas afectadas.
-
Posibles consecuencias de la brecha.
-
Medidas adoptadas para remediar o mitigar las consecuencias.
-
-
Notificar al Consejo si es probable que la brecha constituya un riesgo para los derechos y libertades de las personas afectadas, aportando la información recopilada (Artículo 33 del RGPD).
|
Riesgo de la brecha |
Actuación necesaria |
|
Riesgo improbable |
Documentar el incidente |
|
Riesgo probable |
Notificar al Consejo en un plazo máximo de 72 horas |
|
Riesgo alto probable |
Notificar al Consejo en dicho plazo y comunicarlo a los afectados sin demora |
-
Comunicar a los afectados una brecha con probabilidad de alto riesgo para sus derechos y libertades les ayudará a tomar medidas para protegerse de las consecuencias (Artículo 34 del RGPD). Conviene usar un lenguaje claro y sencillo y asegurarse que la comunicación tenga al menos:
-
Datos de contacto del DPD (o de otro contacto en el que pueda obtenerse más información).
-
Posibles consecuencias de la brecha.
-
Medidas adoptadas para resolver la brecha.
-
¿Cómo notificar la brecha al Consejo?
Dispones de toda la información necesaria en:
Dispones también de:
-
Asistente para valorar si hay que notificar la brecha al Consejo:
https://www.ctpdandalucia.es/area-de-proteccion-de-datos/asesora-brecha-rgpd
-
Asistente para decidir si hay que comunicar la brecha a los afectados:
https://www.ctpdandalucia.es/area-de-proteccion-de-datos/asesora-brecha-rgpd
-
Orientaciones sobre cómo realizar una comunicación de brecha a los afectados: