Home

Algunas empresas que nos han elegido

Privacy Officer y Privacy Consultant
Esquema CDP según ISO/IEC 17024:2012
European Privacy Auditor
Esquema de certificación ISDP©10003 según ISO/IEC 17065:2012
Auditor
Según la norma UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Según la norma ISO/IEC 17024:2012
Delegado de Protección de Datos
Según la norma ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Según la norma ISO/IEC 17024:2012
ICT Security Manager
Según la norma UNI 11506:2017
IT Service Management (ITSM)
Según la Fundación ITIL
Ethical Hacker (CEH)
Según EC-Council
Network Defender (CND)
Según EC-Council
Computer Hacking Forensics Investigator (CHFI)
Según EC-Council
Penetration Testing Professional (CPENT)
Según EC-Council

Cualificaciones profesionales

¡Manténgase al día de la actualidad mundial!

Seleccionar los temas que le interesan:

News

Inicio / News
/
¿Cuál es la diferencia entre un accidente de seguridad y una violación de datos?

¿Cuál es la diferencia entre un accidente de seguridad y una violación de datos?

En muchos casos la implementación del procedimiento de violación de datos por parte del responsable del tratamiento con relativa notificación a la Autoridad de Protección de Datos con arreglo al articulo 33 del GDPR puede llevar como consecuencia a la aplicación de determinadas sanciones administrativas, también pecuniarias, por parte de la Autoridad. No es una regla, pero la probabilidad es alta. Se puede pensar, por ejemplo, a los recientes procedimientos llamados desde la newsletter del 19 de febrero de 2021, donde la Autoridad, con referencia a las estructuras sanitarias, en sancionar ha recordado que los responsables de tratamiento tienen que adoptar las medidas técnicas y organizativas necesarias para evitar que los datos de los interesados sean comunicados erróneamente a otras personas.

De hecho, no siempre las violaciones de datos personales son causadas desde los ataques informáticos externos, pero desde procedimientos inadecuados y de simple errores materiales del personal.

Creo que esto sea un aspecto muy importante que tenemos que subrayar, en cuanto para poner remedio a una violación es importante que el responsable del tratamiento sea capaz de reconocerla. Al artículo 4, apartado 12, el reglamento EU 2016/679 (GDPR) define la violación de seguridad de datos personales como: “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Estamos frente a un concepto preciso.

El significado de “destrucción” de datos personales tendría que ser bastante claro: se tiene una destrucción de datos cuando los mismos no existen más o no existen en una forma que sea útil para el responsable del tratamiento. También el concepto de “daño” es relativamente evidente: se verifica un daño cuando los datos personales han sido modificados, corruptos o no están completos. Con “pérdida” de datos personales se entiende el caso en el cual los datos podrían existir, pero el responsable del tratamiento podría haber perdido el control o el acceso, o no tenerlos más.

Como subrayan las Autoridades Europeas de Protección de Datos, en las directivas “Directivas sobre la notificación de violaciones de datos personales con arreglo al reglamento (EU) 2016/679” adoptadas en su última versión del 6 de febrero de 2018, lo que tiene que ser claro es que una violación es una tipología de accidente de seguridad.

Todavía, como indicado en el articulo 4, apartado 12 del reglamento se aplica solo en caso de violación de datos personales. La consecuencia de esta violación es que el responsable del tratamiento no es mas capaz de garantizar la observancia de los principios relativos al tratamiento de datos personales con arreglo al articulo 5 del GDPR.

Este punto pone en luz la diferencia entre un accidente de seguridad y una violación de datos personales: mientras que todas las violaciones de datos personales son accidentes de seguridad, no todos los accidentes de seguridad son violaciones de datos personales (un accidente de seguridad no se limita a los modelos de amenazas en las cuales un ataque se efectúa contra una organización por fuera, más bien incluye también accidentes que derivan desde el tratamiento interno que violan los principios de seguridad).

También un accidente de seguridad que determina la indisponibilidad de datos personales por un cierto periodo de tiempo constituye una violación, en cuanto la falta de acceso a los datos personales que tener un impacto significativo sobre los derechos y sobre las libertades de las personas físicas.

Diferente es el caso de la indisponibilidad de los datos personales debido a la realización de una intervención de manutención programada desde el sistema que no constituye una “violación de seguridad” con arreglo al artículo 4, apartado 12.

Como en caso de la pérdida o la destrucción de datos personales (o de cualquiera otro tipo de violación), una violación que implica la perdida temporánea de disponibilidad tiene que ser documentada en conformidad al artículo 33, apartado 5, del GDPR.

Esto ayuda al responsable del tratamiento a demostrar la asunción de responsabilidad de autoridad de control, que podría pedir consultar estas registraciones. Todavía, a segunda de las circunstancias en la cual se verifica, la violación puede solicitar o no la notificación a la autoridad de control y la comunicación a las personas físicas afectadas. El responsable del tratamiento tendrá que evaluar la probabilidad de datos personales sobre los derechos y las libertades de las personas físicas.

Con arreglo al articulo 33, el responsable del tratamiento tendrá que efectuar la notificación a menos que sea improbable que la violación de datos personales presenta un riesgo para los derechos y las libertades de las personas físicas. Este punto tendrá claramente que ser evaluado caso por caso.

Podemos recordar también que el Comité Europeo de Protección de Datos (EDPB) ha empezado una consulta sobre las Directivas 1/2021 relativas a ejemplos de violaciones de datos personales.

En el mismo Procedimiento el Comité precisa que una violación puede llevar danos físicos, materiales o inmateriales para las personas físicas los cuyos datos han sido violados como por ejemplo discriminación, robo de identidad, danos reputacionales, perdidas financieras, perdida de confidencialidad de datos personales protegidos desde secreto profesional, etc.

(Para más dettales sobre la gestión de las violaciones de datos véase el curso organizado por Federprivacy «El Data Breach: planificación y gestión antes, durante y después del evento» en programa el 13 de mayo de 2021).

FUENTE:FEDERPRIVACY

Recomendados para ti

Búsqueda avanzada