Se conocen como quiebras de seguridad en el reglamento a toda violación de seguridad que tenga como consecuencia la destrucción, la pérdida o la alteración de los datos personales (Artículo 4). Esto incluye sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de registros que deben ser tratados como el Reglamento establece.
Delegados de protección de datos
Si bien el RGPD va más allá de rellenar documentación, no podemos obviar que a partir del 25 de mayo de 2018 la empresa tiene la obligación de demostrar que está cumpliendo el RGPD. Esto supone la actualización de políticas y procedimientos, así como un exhaustivo proceso de documentación de sus actividades de tratamiento, medidas de control, forma de obtener los consentimientos y tratarlos en los procesos de tratamiento de información, entre otros aspectos a cumplir.
Se crea una nueva figura, el Delegado de Protección de Datos, que ha de ser nombrado en algunas empresas atendiendo a sus cualificaciones profesionales y a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, se le exigen tanto conocimientos jurídicos en la materia como en el ámbito de la tecnología aplicada al tratamiento de datos o en relación con la actividad de la organización en la que el DPD desempeña su tarea.
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes. La designación del DPD en las organizaciones tiene que cumplir al menos los siguientes requisitos:
- Total autonomía en el ejercicio de sus funciones.
- Necesidad de que se relacione con el nivel superior de la dirección.
- Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.
La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos, si bien no es obligatorio.
Una de las obligaciones que no afecta de forma directa a las empresas, pues la reclamación no le llega propiamente a la empresa, pero sí de forma indirecta (puede suponer un aumento del número de reclamaciones) es el nuevo sistema de “ventanilla única” que instaura el Reglamento General de Protección de Datos. Esto le permite a cualquier usuario poner una reclamación relativa a la protección de datos en cualquier autoridad nacional competente, siendo esta la que se pondrá en contacto internamente con las otras autoridades a las que pueda afectarles la reclamación.
Anteriormente, no existía esta posibilidad y era mucho más complejo para los usuarios poder denunciar un problema de protección de datos que suponía una notificación a una autoridad extranjera.
Quiebras de seguridad: ¿qué dice el RGPD?
El RGPD indica que, si no se actúa a tiempo, las brechas de seguridad pueden representar un riesgo para los derechos y libertades de las personas (Considerando 85). La Agencia Española de Protección tiene la obligación de notificar las quiebras de seguridad en las bases de datos. Por ello, introduce una nueva obligación de notificación a la Autoridad Nacional Competente:
en cuanto la persona implicada sepa acerca de las quiebras de seguridad en el sistema que afectan a sus datos personales, se debe indicar a las autoridades competentes en un plazo máximo de 72 horas.
Esta obligación solo será revocable en caso de que el responsable del tratamiento de los datos pueda demostrar que no existe ningún tipo de riesgo con las quiebras de seguridad identificadas (Considerando 85).
En el caso de que pueda entrañar un alto riesgo para los derechos y libertades del interesado, el responsable del tratamiento debe comunicar al interesado sin dilación indebida las quiebras de seguridad de sus datos personales y, así, permitirle tomar las precauciones necesarias. La comunicación debe ser detallada y clara al indicar las quiebras de seguridad que se han sufrido y las recomendaciones a seguir para mitigar los daños posibles (Considerando 86).
¿Te gustaría saber más?
Hemos aprendido qué son las quiebras de seguridad y su vital importancia en el procesamiento de datos de los sistemas en las empresas. No obstante el mundo del Big data es muy amplio y, por ello, te invitamos a participar de nuestro Big Data, Inteligencia Artificial & Machine Learning Full Stack Bootcamp, en el que aprenderás sobre este y otros temas de analítica y ciencia de datos. ¡No dudes en inscribirte y cambia de vida!