ADN Cloud

Innovación en la sociedad digital

Categorías
New Call-to-action

Cómo gestionar un error de privacidad según el GDPR

error de privacidad
Tiempo de lectura: 4 minutos

Un error de privacidad, según la nueva normativa de protección de datos, es un incidente que puede causar importantes daños económicos y en la reputación, además de implicar importantes sanciones.

Con la entrada en vigor del Reglamento europeo general de protección de datos (GDPR), cualquier empresa está obligada a comunicar una violación de la seguridad de los datos personales o error de privacidad.

Qué es un error de privacidad según la nueva normativa

El GDPR define una “violación de la seguridad de los datos personales” como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Ninguna empresa al día de hoy está 100% al seguro y son altas las probabilidades de sufrir una brecha de seguridad o cometer un error de privacidad. Por un lado, los ataques cibernéticos se hacen cada día más numerosos y sofisticados; al mismo tiempo, la falta de formación y de concienciación de los empleados, hace que estos sean la fuente principal de estos tipos de incidentes.

Un error de privacidad puede afectar a millones de usuarios

Podemos pensar que un error de privacidad puede ser más común en empresas pequeñas y cuyo personal no está suficientemente preparado. Nada más lejos de la realidad: las grandes empresas tecnológicas no están a salvo, y cuánto más tamaño tiene la empresa – y su base de usuarios – más impacto potencial provoca la brecha.

En mayo de 2018,  un error en el software de Facebook hizo que se publicara el contenido privado de más de 14 millones de usuarios. Algo que se suma al reciente escándalo de filtración de datos personales a la empresa Cambridge Analytica, que tuvo que cerrar después que el incidente se hizo público.

Unos meses antes, un fallo de seguridad que afectaba a dispositivos Apple, permitió a cualquiera usuario escuchar los mensajes de Whatsapp con Siri.

Y a finales de 2017, unos hackers demostraron que se podía con cierta facilidad obtener datos personales – entre los cuales, datos de tarjetas bancarias – que guardan por defecto navegadores como Chrome, Safari y Opera, a través de su función de autocompletar.

Quiénes están obligados a notificar un error de privacidad

Anteriormente a la entrada en vigor del GDPR, la obligación de notificar las brechas de seguridad o violaciones de seguridad, se limitaba a los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público.

Ahora, toda organización pública y privada está obligada a notificar la violación a la autoridad de control competente, y deberá hacerlo entro 72 horas después de que haya tenido constancia de ella. Además, también se deberán notificar a los usuarios afectados, en aquellos casos en los que la violación entrañe alto riesgo para los derechos y libertades de las personas físicas. Cabe destacar que la obligación también se extiende a los encargados del tratamiento  de datos personales.

Además de ser la notificación obligatoria, su incumplimiento puede comportar la aplicación de sanciones de hasta 10 millones de euros o del 2% del volumen de negocio.

Cómo gestionar un error de privacidad según el GDPR

Una brecha de seguridad puede que nos haga perder mucho dinero, negocio y reputación. Pero, ¿cómo tenemos que actual para mitigar los riesgos? Según el nuevo reglamento, deberemos seguir los pasos siguientes:

  • Informar a la Agencia de Protección de datos en las 72 horas después de que haya tenido constancia del incidente comunicando: la naturaleza de la violación de la seguridad; las categorías y el número aproximado de interesados afectados y de registros de datos personales afectados; los datos de contacto del delegado de protección de datos; las posibles consecuencias y las medidas mitigadoras adoptadas o propuestas.
  • En caso de que exista un encargado del tratamiento, este deberá notificar sin dilación indebida al responsable del tratamiento, para que pueda cumplir con las obligaciones de comunicación.
  • Informar sin dilación indebida a los usuarios afectados, a menos que se hubieran adoptado medidas de protección técnicas y organizativas apropiadas que mitiguen los riesgos para los derechos y libertades de los interesados.

Error de privacidad: retos para las empresas

La seguridad de la información es una cuestión importante para la continuidad del negocio y la reputación corporativa, pero ahora lo es todavía más, ya que un error de privacidad puede implicar importantes sanciones.

Por esto, las empresas se enfrentan a importantes retos a la hora de incorporar los procedimientos adecuados para documentar las incidencias, establecer planes de comunicación de las violaciones y planes de contingencias, además de implantar las medidas de seguridad necesarias. Frente a estos retos, se hace necesario el cumplimiento normativo unido a una formación y concienciación de los empleados a todos los niveles.

New Call-to-action

Entradas relacionadas

Deja un comentario

No hay comentarios

Todavía no hay ningún comentario en esta entrada.