Con el nuevo Reglamento General de Protección de Datos europeo (RGPD), publicado y que entrará en vigor el 25 de mayo de 2018, habrá cambios importantes para los que traten datos personales y sean víctimas de una sustracción o supresión no autorizada de alguno de estos datos.
Todos debemos estar preparados para cumplir el RGPD antes de que entre en vigor, cumpliéndolo y estando adaptados, debido a que las sanciones pueden llegar des del primer día que entre en vigor.
Esta parte del Reglamento afectará a una empresa, organización o administración que trate datos personales y se produzca una violación de seguridad que provoque la pérdida, destrucción o alteración ilícita de datos personales, o comunicación o acceso no autorizado, en cualquier fase del tratamiento: acceso, obtención, intervención, transmisión, conservación o supresión de datos.
Quien trate datos personales debe garantizar un nivel de seguridad adecuado al riesgo que conlleva el tratamiento.
Otra obligación para el Responsable de los datos personales será la de notificar dichas vulneraciones de seguridad a la Autoridad de control (en España es la Agencia Española de Protección de Datos – AEPD) en un plazo de 72 horas; si dichas vulneraciones conllevan un posible riesgo a los derechos de los afectados, también estos deberán estar informados del suceso. Aunque haya un plazo de 72 horas, se debe comunicar lo antes posible. Si la notificación tarda más de 72 horas, se debe poder justificar.
¿Cuándo se considerará una mala gestión de datos personales?
Se considerará una mala gestión de datos personales cuando:
- Alguien acceda a datos personales sin autorización.
- Exista una falsificación o modificación malintencionada de datos.
- Haya una recuperación errónea de copias de seguridad con datos personales.
- Haya una comunicación de datos personales no autorizada.
- Se destruyan documentos con datos personales sin autorización del afectado.
- Se realice una destrucción de datos personales sin seguir las pautas del Reglamento.
- Haya una pérdida de documentos con datos personales.
- No existan sistemas de seguridad, tanto físicos como digitales; o haya sistemas de seguridad pero no sean lo suficientemente fuertes.
- Haya datos personales fácilmente accesibles a personas no autorizadas.