Después del incendio del 10 de marzo de 2021 que ocurrió en un centro de datos OVH en Estrasburgo, la CNIL llama las obligaciones en términos de notificación de violación en caso de indisponibilidad o destrucción de datos personales.

La destrucción de datos personales (temporánea o permanente), también accidental, constituye una violación de datos con arreglo al GDPR.

Por esto, los encargados del tratamiento han hospedado datos personales dentro de las infraestructuras interesadas tendrán que documentar la violación (los hechos, sus efectos y las medidas implementadas para poner remedio) en un registro obtenido internamente).

Los encargados del tratamiento tienen que informar a los propios clientes de que ha pasado de manera que puedan cumplir con sus obligaciones, incluidas las de la documentación en el registro interno.

Casos en los cuales la notificación no es necesaria

La notificación de la CNIL y la comunicación a los individuos no es necesaria si las consecuencias permanecen limitadas para los individuos. Por esto, no es necesario informar la CNIL:

•         si la implementación de un plan de recuperación empresarial (en francés PARA) o de un plan de continuidad empresarial (en francés BCP) ha asegurado la continuidad del servicio; o
•         si los datos han sido repristinados desde los backups, sin consecuencias significativas para las personas (ejemplo: las consecuencias son limitadas a la imposibilidad de efectuar un orden por algunas horas).

Cuando es necesaria la notificación

De otra parte, es necesaria la notificación a la CNIL:

•         si los datos personales han sido perdidos de manera permanente;
•         si no están disponibles por un tiempo suficientemente largo de crear un riesgo para las personas.

Además, di la violación puede crear riesgos elevados para las personas, también estas tienen que ser informadas directamente desde el responsable del tratamiento.

El nivel del riesgo de evalúa en particular teniendo en cuenta la tipología de los datos interesados y las potenciales consecuencias de la violación (ejemplo: es probable que la perdida permanente de datos sanitarios de un paciente presenta un riesgo elevado).

La misión de la CNIL es de recibir notificaciones de violaciones de datos y ofrecer asesoramiento en material de comunicación a las personas interesadas, pero no ofrece asesoramiento o servicios de reparación para accidentes de seguridad informática.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL