Acceder al contenido principalAcceder al menú principal

Logo de la UAMUniversidad Autónoma de Madrid

Acceso al BOUAM. Enlace externo. Abre en ventana nueva.

Violaciones de Seguridad

¿Qué es una violación de seguridad?

PROTOCOLO PARA LAS VIOLACIONES DE SEGURIDAD

Una violación de seguridad es cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos personales.

Las brechas de seguridad pueden suponer un daño irreversible para los derechos y libertades de los interesados. Por eso, en caso de conocer alguna incidencia ocurrida, el usuario debe comunicarla con diligencia al responsable de seguridad competente, que adoptará las medidas oportunas.

Los incidentes de seguridad relativos a la protección de datos, requieren un tratamiento específico que debe gestionarse sin dilaciones indebidas por el Responsable del tratamiento, con la colaboración del Computer Emergency Response Team o CERT, y el/la Delegado/a de Protección de Datos o DPD.

El usuario que detecte una violación de seguridad, deberá enviar un correo a cert@uam.es con copia a delegada.protecciondedatos@uam.es. Recibido el correo, ambos órganos, además de resolver la incidencia, valorarán la gravedad de la violación de seguridad y, en consecuencia, si nos hallamos ante uno de los supuestos en los que el RGPD exige la notificación a la Agencia Española de Protección de Datos o AEPD, y en su caso, la comunicación a los interesados afectados por la violación de seguridad.

Ejemplos de incidencias comunes que pudieran afectar a los datos personales contenidos en ficheros automatizados son los siguientes:

  • Alteración no autorizada de datos personales.
  • Acceso no autorizado a los datos personales.
  • Destrucción accidental o malintencionada de los datos personales.
  • Pérdida de los datos personales.
  • Comunicación no autorizada de los datos personales.
  • Suplantación de la identidad electrónica.
  • Los sistemas de información no están disponibles, y esto provoca la indisponibilidad de los datos personales.


Por su parte, algunos ejemplos de incidencias que pueden afectar a ficheros no automatizados son los siguientes:

  • Robo o pérdida de llaves de lugares o soportes en donde se almacenen dichos ficheros no automatizados.
  • Desaparición de documentos o soportes que contengan datos personales.


Esta relación de posibles escenarios de riesgo, no es limitativa, sino a mero título de ejemplo, debiéndose comunicar cualquier incidencia que afecte a la seguridad de los datos de carácter personal.  

NOTIFICAR UNA VIOLACIÓN DE SEGURIDAD A LA AEPD (art.33 RGPD)

- Plazo para la notificación

  • Sin dilación indebida.
  • Máximo de 72 horas desde que el Responsable haya tenido constancia.
  • Pasadas las 72 horas, se deberá acompañar una justificación motivada.

- Obligación de notificar la violación

Es obligatorio para cualquier Responsable, siempre que la violación de seguridad pueda producir daños o perjuicios a interesados en el transcurso del tratamiento de datos, tales como:

  • Pérdida de control sobre los datos personales.
  • Restricción de los derechos.
  • Discriminación.
  • Usurpación de identidad.
  • Pérdidas financieras.
  • Reversión no autorizada de la seudonimización.
  • Daño para la reputación.
  • Pérdida de la confidencialidad de los datos sujetos al secreto profesional.
  • Cualquier otro perjuicio económico o social significativo para la persona física.

- Razones para no notificar la violación

Cuando sea improbable que la vulneración de los datos personales constituya un riesgo para los derechos y las libertades de los interesados.

Esta improbabilidad debe basarse atendiendo al principio de responsabilidad proactiva: ser capaz de demostrar el cumplimiento de todos los principios del tratamiento (art. 5 del RGPD): Licitud, Limitación de los fines, Minimización de los datos, Exactitud, Limitación del plazo de conservación, Integridad y Confidencialidad.

- Contenido de la notificación

La naturaleza y contexto de la violación.

Los posibles efectos y consecuencias de la violación.

Las medidas correctivas adoptadas o propuestas por el Responsable para remediar y mitigar los efectos ocasionados.

Cuando sea posible:

  • Las categorías y número de interesados afectados.
  • Las categorías y número de registros afectados.
  • Los datos de contacto del DPD u otros contactos para obtener más información.
  • Si no es posible facilitar toda la información en una comunicación, se notificará por etapas sin dilación indebida.

 

COMUNICAR LA VIOLACIÓN AL INTERESADO (art. 34 RGPD)

- Plazo para la notificación

Sin dilación indebida.

- Obligación de comunicar la violación

Es obligatorio para cualquier Responsable, cuando sea probable que la brecha de seguridad presente un alto riesgo para los derechos y libertades del interesado.

Cuando al Responsable le sea exigido por la Autoridad de Control (AEPS).

- Razones para no notificar la violación

Cuando se han adoptado medidas técnicas y organizativas apropiadas de protección para hacer ininteligibles los datos a personas no autorizadas y que estas se han aplicado a los datos afectados.

Cuando se han tomado medidas posteriores que garantizan que ya no sea probable un alto riesgo para los derechos y libertades del interesado.Cuando supusiera un esfuerzo desproporcionado. En este caso, se podrá optar por una comunicación pública que sea igualmente efectiva para informar al interesado.

- Contenido de la notificación

Una descripción de la naturaleza de la violación.

Las posibles consecuencias de la violación.

Las medidas correctivas adoptadas o propuestas por el Responsable para remediar y mitigar los efectos ocasionados.

Los datos de contacto del DPD u otros contactos para obtener más información.